Microsoft ha confermato la vulnerabilità emersa nelle ultime ore relativamente alla propria produzione per il mondo server: ad essere coinvolto è Microsoft Internet Information Services (IIS 6.0) e Secunia ha etichettato momentaneamente il problema con un giudizio di criticità moderata (SA35109).

Secondo quanto ammesso da Redmond «esiste una vulnerabilità relativa al modo in cui le estensioni WebDAV per IIS gestiscono le richieste HTTP che può portare all'acquisizione abusiva di privilegi. La falla può essere sfruttata creando una richiesta HTTP ad hoc e così avere accesso a percorsi che altrimenti richiederebbero un livello di autenticazione più elevato». La descrizione originaria del bug è in un file PDF datato 12 Maggio firmato "Kingcope".

Sempre secondo quanto diffuso dalla società non ci sono prove di attacchi che effettivamente abbiano sfruttato tale vulnerabilità che comunque sarà patchata con il consueto update mensile o anche con un aggiornamento specifico da pubblicarsi anzitempo.

A scoprire tutto quanto è stato Nikolaos Rangos e secondo quanto dichiarato dal U.S. Computer Emergency Response Team non sarebbero corrette le affermazioni di Redmond, l'attacco è stato utilizzato. Tutti i sistemi che montano IIS versione 6 con protocolli WebDAV abilitati rischiano che i loro file protetti siano visualizzabili o di vedersi uploadati file che non desiderano.

Siccome nè IIS 5 nè la versione 7 sembrano vulnerabili la casa consiglia di disabilitare i protocolli WebDAV non solo da IIS 6 ma anche da qualsiasi altro software li utilizzi, in modo da limitare i rischi fino a quando non è pronta la patch.