La vulnerabilidad de Windows HTTP Wormable también afecta a los servidores WinRM

Una vulnerabilidad de gusano en la pila de protocolos HTTP del servidor IIS de Windows también se puede usar para atacar sistemas Windows 10 y Server sin parches que exponen públicamente el servicio de administración remota de Windows (WinRM).

Microsoft ya ha solucionado el error crítico detectado como CVE-2021-31166 durante el parche de mayo del martes.

Afortunadamente, si bien las amenazas en los ataques de ejecución remota de código (RCE) pueden abusar de la vulnerabilidad, SOLO afecta a las versiones 2004 y 20H2 de Windows 10 y Windows Server.

Microsoft se recomienda priorizar los parches todos los servidores afectados porque la vulnerabilidad podría permitir que atacantes no autenticados ejecuten código arbitrario de forma remota "en la mayoría de las situaciones" en equipos vulnerables.

Además de esto, durante el fin de semana, el investigador de seguridad Axel Souchet lanzó un código de explotación de prueba de concepto que se puede usar para bloquear sistemas no parcheados usando paquetes maliciosos activando pantallas azules de la muerte.

WinRM habilitado de forma predeterminada en terminales corporativos

El error se encontró en la pila de protocolo HTTP (HTTP.sys) que el servidor web Windows IIS utiliza como escucha de protocolo para procesar solicitudes HTTP.

Sin embargo, cmo descubierto por el investigador de seguridad Jim DeVries, también afecta a los dispositivos Windows 10 y Server que ejecutan la extensión WinRM service (abreviatura de Windows Remote Management), un componente del conjunto de características de administración de hardware de Windows que también usa el vulnerable HTTP.sys.

Si bien los usuarios domésticos deben habilitar manualmente el servicio WinRM en sus sistemas Windows 10, los puntos finales corporativos de Windows Server tienen WinRM habilitado de forma predeterminada, lo que los hace vulnerables a los ataques si ejecutan las versiones 2004 o 20H2.

"[CVE-2021-31166] se utiliza habitualmente en entornos corporativos. Está habilitado de forma predeterminada en los servidores ”, dijo DeVries a BleepingComputer.

"No creo que esto sea un gran riesgo para las PC domésticas, pero si alguien lo casa con un gusano y un ransomware, podría volverse loco en entornos corporativos".

Finalmente encontré el tiempo para responder a mi pregunta. WinRM * ES * vulnerable. Esto realmente expande la cantidad de sistemas vulnerables, incluso si nadie pondría intencionalmente ese servicio en Internet.

- Jim DeVries (@JimDinMN) 19 de mayo de 2021

Más de 2 millones de servidores WinRM expuestos a Internet

Los hallazgos de DeVries también fueron confirmados por el analista de vulnerabilidades CERT / CC Will Dormann que bloqueó con éxito un sistema Windows al exponer el servicio WinRM utilizando el exploit DoS de Souchet.

Dormann también descubrió más de 2 millones de sistemas Windows accesibles en Internet están exponiendo el servicio WinRM vulnerable.

Afortunadamente, solo un subconjunto de todos estos sistemas Windows expuestos a Internet son vulnerables, ya que la vulnerabilidad solo afecta a Windows 10 y Windows Server, versiones 2004 y 20H2.

El lanzamiento del exploit probablemente podría permitir a los adversarios crear sus propios exploits más rápido, lo que podría permitir también la ejecución remota de código.

Sin embargo, el impacto también debería ser limitado y el proceso de parcheo bastante rápido, ya que la mayoría de los usuarios domésticos que ejecutan las versiones afectadas de Windows 10 probablemente actualizaron sus sistemas la semana pasada.

Del mismo modo, muchas empresas probablemente deberían estar a salvo de los ataques de errores dirigidos, ya que normalmente no distribuyen las últimas versiones de Windows Server tan pronto como se publican.