Según expertos de seguridad, el error que ha vulnerado IIS en los servidores Windows 2000, no sólo afectaría a ese sistema operativo, sino también a otros.
El procedimiento WebDAV es sólo una de varias formas de explotar el agujero de seguridad. En otras palabras, no hay una garantía de protección ni siquiera después de haber instalado el parche publicado por Microsoft. Esto se debe a que la misma vulnerabilidad puede ser explotada por un hacker mediante un componente distinto.
En otras palabras, el agujero de seguridad radica en el mismo núcleo de Windows 2000, en un buffer inseguro en el archivo de sistema, denominado ntdll.dll.
David Litchfield, de NGSSoftware, dijo haber logrado aprovechar la misma vulnerabilidad que se ha encontrado en servidores que no ejecutan, en lo absoluto, el componente WebDAV de IIS. Litchfield, al igual que otros expertos, expresa preocupación ante la posibilidad de que un gusano basado en el agujero de seguridad pueda propagarse por Internet.
Microsoft, por su parte, recomienda a todos los usuarios de Windows 2000, con o sin IIS, instalar a la mayor brevedad una nueva actualización, disponible en su sitio web.
Artículo relacionado:
Detectan agujero crítico en IIS
