Microsoft commenta la vulnerabilità scoperta in IIS

Microsoft ha pubblicato un bollettino attraverso il quale ha confermato l’individuazione di una vulnerabilità di sicurezza all’interno di “Internet Information Services” (IIS) 5.0 e 6.0. Ad essere interessato dal problema è, in particolare, il server FTP del colosso di Redmond.
Pur avendo appreso la pubblicazione del codice exploit in grado di sfruttare la vulnerabilità, Microsoft non ha rilevato, al momento, alcun attacco vero e proprio.

Come precisano diversi esperti di sicurezza, affinché l’attacco possa andare a buon fine, il server FTP di IIS dovrebbe essere stato configurato in modo tale da permettere l’accesso anonimo ed in più consentire la scrittura in almeno una cartella. Dal momento che, di default, gli utenti FTP non hanno accesso in scrittura e sono ben pochi i sistemi impostati per consentire connessioni anonime, il numero dei server effettivamente a rischio è considerato come estremamente ridotto.

Non affette dal problema sono le versioni di Windows che integrano una versione di IIS superiore alla 6.0 ossia Windows Server 2008, Windows Vista e Windows 7.

Il bollettino Microsoft è consultabile facendo riferimento a questa pagina. Il gigante di Redmond dovrebbe rilasciare prossimamente una patch risolutiva.