Microsoft heeft systeembeheerders gewaarschuwd voor een kwetsbaarheid waardoor het mogelijk is om via malafide HTTP/2-verzoeken de processor van IIS-webservers 100 procent te belasten. HTTP2 is een grote herziening van het HTTP-netwerkprotocol waar het web gebruik van maakt.

De HTTP/2-specificatie laat clients die met een webserver verbinding maken een onbeperkt aantal settings-frames met een onbeperkt aantal settings-parameters opgeven. In sommige gevallen kunnen excessieve settings ervoor zorgen dat de processor van een IIS-webserver 100 procent wordt belast totdat de malafide verbinding wordt verbroken. Op deze manier is het mogelijk om een denial of service-aanval tegen IIS-servers uit te voeren.

Om het probleem te verhelpen heeft Microsoft via de “non-security update” van februari de optie toegevoegd om een limiet in te stellen voor het aantal settings dat in een verzoek kan worden opgegeven. Deze limiet moet wel zelf door de IIS-beheerder worden ingesteld, zo laat Microsoft weten.