Un error de IIS con potencial de gusano representa una amenaza para los servidores WinRM

IIS bug with worm potential

Como parte de mayo «Martes de parches» Microsoft ha solucionado un error peligroso con potencial de gusano en Internet Information Services (IIS), que recibió el identificador CVE-2021-31166.

La semana pasada, muchos investigadores y empresas de seguridad de la información escribió que esta vulnerabilidad es uno de los problemas más graves solucionados este mes (9.8 fuera de 10 en la escala CVSS v3).

La vulnerabilidad está relacionada con la corrupción de información en la memoria de la pila del protocolo HTTP., que está incluido en todas las versiones recientes de Windows. Esta pila es utilizada por el servidor Windows IIS.. Si este servidor está activo, un atacante puede enviarle un paquete especialmente preparado y ejecutar código malicioso en el nivel del kernel del sistema operativo..

Peor, Microsoft advirtió que la vulnerabilidad tiene potencial de gusano, eso es, podría usarse para crear malware que se propague de servidor a servidor.

Un exploit para este problema. fue publicado recientemente en el dominio publico. Afortunadamente, la vulnerabilidad afecta solo a las versiones más recientes del sistema operativo: Windows 10 2004 y 20H2, así como el servidor de Windows 2004 y 20H2, que aún no están muy extendidos.

El investigador de seguridad Jim DeVries ha descubierto que la vulnerabilidad también afecta a los dispositivos que ejecutan Windows. 10 y Windows Server ejecutando la administración remota de Windows (WinRM) servicio, un componente de administración de hardware de Windows que también explota el HTTP.sys vulnerable.

No lo he visto discutido en ninguna parte., ¿Crees que esta vulnerabilidad podría explotarse a través de WinRM en 5985? El proceso del sistema en mi PC Win10 que no es IIS parece cargar http.dice. Finalmente encontré tiempo para responder mi propia pregunta.. WinRM *ES* vulnerable. Esto realmente amplía la cantidad de sistemas vulnerables., aunque nadie pondría intencionalmente ese servicio en Internet.Jim DeVries escribió.

Y si los usuarios normales tienen que habilitar WinRM manualmente, luego, en los puntos finales corporativos de Windows Server, WinRM está habilitado de forma predeterminada, lo que los hace vulnerables a ataques si usan versiones de Windows 2004 o 20H2.

No creo que esto sea un gran riesgo para las PC domésticas., pero si alguien se cruza [una vulnerabilidad] con un gusano y ransomware, Todo puede crecer enormemente en el entorno corporativo..el experto advierte.

DeVries’ Los hallazgos ya han sido confirmados por el analista de CERT/CC Will Dormann., que comprometió con éxito el sistema utilizando un exploit DoS publicado anteriormente.

Dormann también descubrió que más que 2,000,000 sistemas con el servicio WinRM ejecutándose se puede encontrar en la red, aunque no todos son vulnerables a CVE-2021-31166, porque, como se ha mencionado más arriba, el error afecta sólo a Windows 10 y versiones de Windows Server 2004 y 20H2.

Déjame recordarte que yo también escribí eso. Microsoft desarrolló un entorno de laboratorio SimuLand para simular ciberataques.

Por Vladimir Krasnogolovy

Vladimir es un especialista técnico al que le encanta dar consejos y sugerencias cualificados sobre los productos de GridinSoft. Está disponible las 24 horas del día, los 7 días de la semana para ayudarte con cualquier pregunta relacionada con la seguridad en Internet.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *