Nosotros (bueno, la empresa donde curro) tenía dos agujeros "importantes", incluso 3. De menos gordos a más gordos eran:

- Tener SQL Server en la misma máquina que esta el IIS y un montón de cosas, y tenerlo sin actualizar, con un montón de xploits pululando que podían haber utilizado.

- Exchange sin actualizar. De manera que poniendo \ExchWeb y unas "cositas" más podías hacer un exploit.

- El más gordo, con diferencia: Tener acceso de escritura en las webs ¬¬ Sí, pa matarlos. Se ve que quien lo hizo no tenía mucha idea, o vete a saber. De manera que hacias un "PUT fichero.htm" y subias el fichero.htm a la web.

Esto por último es algo muy fácil de implementar para hacer a saco a muuuuuchas webs y probar en cuales funciona.

Hay que tener en cuenta que los servidores no suelen tener TODAS las actualizaciones, ya que muchas veces actualizar implica parar un servicio, y en ocasiones eso no se puede hacer.