Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 20/5/2009
Microsofts webserverprogram IIS (Internet Information Services) har en sårbarhed, der kan give uvedkommende adgang til fortrolig information.Sårbarheden ligger i WebDAV-funktionen. Hvis den ikke er slået til, er ens webserver ikke sårbar. Ellers er det muligt, at en angriber kan få adgang til filer og mapper, der skulle være beskyttet af IIS' adgangskontrol.
Ifølge US-CERT (United States Computer Emergency Readiness Team) findes der angrebsprogrammer, som udnytter sårbarheden. De bruges aktivt af hackere. Microsoft kender derimod ikke til angreb på sårbarheden.
US-CERT oplyser også, at en angriber kan uploade en fil til en sårbar server. Microsoft skriver, at det kun kan lade sig gøre, hvis man har ændret på standardindstillingerne for tilladelser på filsystemniveau.
Indtil Microsoft kommer med en rettelse kan man beskytte sig ved at slå WebDAV-funktionen fra. Alternativt kan man bruge beskyttelsen på filsystemniveau eller bruge URLScan til at blokere for farlige forespørgsler.