Eigentlich ist der IIS 6.0 schon längst überholt und wird auch nicht mehr gepatcht. Dennoch wird er noch rege „eingesetzt“. Meistens dümpelt der Service als vergessene Leiche noch irgendwo in der Infrastruktur umher. über die Suchmaschine Censys  konnten noch über 100`000 IIS 6.0 Server in der Schweiz gefunden werden.

Was ist jetzt genau das Problem? Es interessiert sich sowieso niemand mehr für eine so alte Infrastruktur. Das sehen Hacker wohl etwas anders. Auf GitHub ist ein Exploit aufgetaucht das genau auf diese IIS Version abzielt.

Der WebDAV-Dienst des IIS 6.0 verfügt über einen Pufferüberlauf, dieser lässt sich über das Internet ausnutzen. Das Exploit senden einen, speziell zusammengestellten Header für eine PROPFIND Anfrage an den IIS und speziell an den WebDAV-Dienst. Diese Anfrage lässt den Puffer überlaufen und startet letztendlich „nur“ den Taschenrechner auf dem Server.

Laut dem Autor wurde die Schwachstelle bereits vor einem Jahr ausgenutzt. Ob dort auch nur der Taschenrechner gestartet wurde, oder andere Kommandos ausgeführt wurden, ist nicht klar.

Das Problem an veralteter Software ist dass sie nicht mehr gepatcht wird. Und auch wenn es „alte Geräte“ sind. Stehen sie doch in einem Netzwerk und haben ev. Zugriff auf sensible Daten.

Daher gilt, nicht mehr Unterstützte Software durch neue ersetzen oder vom System abschotten.