IIS 6.0 servisindeki WebDAV ScStoragePathFromUrl  fonksiyonundan kaynaklı Buffer Overflow zafiyeti kullanılarak sisteminize ve ilişkili sistemlere erişilebilir.
Saldırganın sisteme kolaylıkla izin vermesini sağlayan bu zafiyet Microsoft tarafından kapatılmamaktadır.

Bunu nedeni IIS 6.0’ın çalıştığı Windows 2003 Server işletim sistem desteğinin kalkmış olması; https://support.microsoft.com/tr-tr/lifecycle/search?alpha=Windows%20Server%202003%20R2

Zaafiyetin exploit’i yayınlandığından dolayı şayet envanterinizde Windows 2003 Sunucu var, IIS servisi ve WebDAV bileşeni çalışmaktaysa; WebDAV’ı kapatarak, sunucu işletim sisteminizi en kısa zamanda Upgrade etmeniz önerilir.

CVSS Score (v 3.0) > 9.8 Critical
CVSS Score (v 2.0) > 10.0 High

Kaynak: 

STANDART REFERANS: ISO 27001:2013

  • A.12.6.1
  • A.14.2.5
  • A.16.1.4
  • A.18.2.3