Jak podaje Soroush Dalili, błąd polega na sposobie interpretacji przez IIS plików z wieloma rozszerzeniami rozdzielonymi średnikiem, takich jak file.asp;.jpg - w omawianym przypadku instrukcje ASP zostały zakamuflowane pod postacią pliku graficznego. W podobny sposób można ukryć pliki z rozszerzeniami .cer i .asa.

Z badań przeprowadzonych przez odkrywcę luki wynika, że prawdopodobieństwo umieszczenia tak spreparowanych plików na serwerze sięga 70%. Twórca złośliwego kodu może w ten sposób ominąć zastosowane przez administratora zabezpieczenia przed niedozwolonymi rozszerzeniami.

Dalili określa znaleziony przez siebie błąd jako wysoce krytyczny (highly critical). Innego zdania są eksperci z firmy Secunia, którzy zaklasyfikowali lukę jako less critical, czyli niegroźną. Być może właśnie dlatego Microsoft nie spieszy się z jej załataniem, tym bardziej że nie odnotowano dotąd ataków wykorzystujących omawianą podatność.

Microsoft Security Response Center potwierdził na swoim blogu istnienie błędu, podkreślając, że stosowanie się do wskazówek na temat bezpiecznej konfiguracji IIS pozwoli uniknąć ataku. Odkrywca luki zaleca tymczasem blokowanie wykonywania kodu w katalogach, do których trafiają pliki użytkowników. Warto też przypisywać losową nazwę każdemu uploadowanemu plikowi.

>> Czytaj także: Microsoft naraża na niebezpieczeństwo użytkowników Windowsa

Na uwagę zasługuje fakt, że nie jest to pierwsza luka dotycząca IIS ujawniona w tym roku. Pod koniec sierpnia udostępniono w internecie exploita wykorzystującego błąd w usłudze FTP tego oprogramowania serwerowego. Microsoft załatał dziurę dopiero w październiku.