Het zero-day beveiligingslek in Microsoft's Internet Information Services (IIS) is volgens de softwaregigant voor standaard installaties geen probleem. Via de kwetsbaarheid kunnen aanvallers malware op kwetsbare servers plaatsen en vervolgens uitvoeren. Uit onderzoek blijkt dat de IIS-server in een niet-standaard, onveilige configuratie moet draaien om kwetsbaar te zijn. Een aanvaller moet geauthenticeerd worden en schrijfrechten voor een map op de server hebben. "Iets wat niet overeenkomt met de best practices en richtlijnen die Microsoft voor een veilige server configuratie biedt", aldus Jerry Bryant van het Microsoft Security Response Center. Gebruikers die de standaard configuratie gebruiken en de security best practices volgen lopen een "verminderd" risico op dit soort problemen.

Onverantwoord
Microsoft onderzoekt op dit moment het lek en zal aan de hand van de uitkomsten bepalen of en wanneer er een update verschijnt. De softwaregigant waarschuwt daarnaast dat het lek op "onverantwoorde wijze" gemeld is, waardoor gebruikers nu risico lopen. "We blijven het op verantwoorde wijze melden van lekken aanmoedigen, aangezien we vinden dat het melden van lekken direct aan de leverancier het beste voor iedereen is."