Microsoft Security Bulletin di Febbraio 2008: i primi guai per IIS 6

Il bollettino di sicurezza Microsoft, di Febbraio 2008 oltre ad essere davvero consistente per numero di fix (11), vastità (AD, TCP/IP, Office, patch cumulativa mensile di Internet Explorer) e impatto, infrange purtroppo il mito (reale) di invulnerabilità di Internet Information Server 6.0, peccato davvero.

A distanza di quasi 5 anni dal rilascio, le prime due fix per IIS 6 (oltre ad altre versioni certamente meno diffuse) riguardano una escalation di privilegi e purtroppo una remote code execution. La seconda è ovviamente la più rischiosa specie se, come purtroppo mi accade di vedere presso clienti, è stato cambiato l'account con cui il Worker Process interagisce con il sistema ... ovviamente se si usa un account privilegiato (Administrator o il Local System), la frittata è fatta.

Queste due patch non riguarderanno IIS 7.0 in Vista SP1 (per quando Microsoft gentilmente ce lo farà avere ...) e Windows Server 2008.

La raccomandazione è di installare molto rapidamente queste due patch.