De meeste websites blokkeren automatisch uploads met executable extensies zoals .exe of .asp. Maar omdat IIS ook werkt met komma's en puntkomma's, kunnen hackers toch kwaadaardige code binnensluizen door de executable te maskeren met een puntkomma en een onschuldige extensie erachter.

Puntkommahack

Wordt bijvoorbeeld 'aanvalscode.asp' meteen geblokkeerd, blijkt 'aanvalscode.asp;jpg' te worden geaccepteerd, schrijft Soroush Dalili. Volgens hem zijn IIS 6.0 en mogelijk 7.0 kwetsbaar voor deze insluipmethode, die hij de status 'zeer kritiek' heeft meegeven. Het lek zou al in april 2008 ontdekt zijn. IIS 7.5 is niet gevoelig voor de puntkommahack.

Beveligingsbedrijf Secunia heeft het lek bevestigd op IIS 6.0, maar acht de kwetsbaarheid minder heftig. Microsoft zelf doet nog onderzoek naar het lek, maar meldt dat er weinig aan de hand is. "Onze eerste uitkomsten duiden erop dat de IIS webserver in een niet-default en onveilige configuratie moet staan wil dit werken."

Patch

Microsoft zal waarschijnlijk een patch uitbrengen, maar onduidelijk is nog wanneer. Volgens de softwaremaker heeft Dalili geen verantwoorde bekendmaking (responsible disclosure) gepraktiseerd door het niet eerst aan Microsoft zelf te melden.