Microsoft incluyó en su más reciente paquete de actualizaciones un parche de seguridad para abordar una vulnerabilidad crítica en HTTP Protocol Stack en Windows IIS que también podría haber afectado a sistemas Windows 10 y Windows Server sin parchear y que exponen públicamente el servicio de administración remota WinRM.
Esta vulnerabilidad fue identificada como CVE-2021-31166 y fue actualizada el martes pasado, señalan especialistas en ciberseguridad. La falla solamente afectada a las versiones 2004 20H2 de Windows 10 y Windows Server.
Ante la aparición de esta falla, Microsoft recomendó a los administradores de sistemas afectados implementar los parches de seguridad y así evitar la ejecución de código arbitrario. Por otra parte, el investigador de seguridad Axel Souchet publicó un código de exploit de prueba de concepto (PoC) que podría forzar un bloqueo de los sistemas vulnerables.
Como se menciona al inicio, la falla fue encontrada en la pila del protocolo HTTP (HTTP.sys) que Windows IIS emplea como listener del protocolo para el procesamiento de solicitudes HTTP, además de impactar en sistemas Windows 10 y Server que ejecutan el servicio WinRM.
A pesar de que los usuarios individuales deben habilitar el servicio WinRM de forma manual en sus sistemas, los endpoints Windows Server en entornos empresariales cuentan con esta utilidad habilitada de forma predeterminada, por lo que los administradores de las versiones 2004 o 20H2 podrían verse afectados.
Esta falla fue inicialmente reportada por el especialista en ciberseguridad Jim DeVries y confirmada posteriormente por el analista de vulnerabilidades de CERT/CC Will Dorman, quien logró demostrar un ataque de forma exitosa empleando el exploit DoS desarrollado por Souchet.
Dormann también descubrió que más de 2 millones de sistemas Windows que exponen el servicio WinRM a través de Internet. Por suerte no todo son malas noticias, ya que solo un conjunto reducido de todos estos sistemas expuestos son vulnerables debido a que la falla solo afecta a las versiones 2004 y 20H2.
Debido a que el exploit es conocido públicamente, los actores de amenazas podrían desplegar campañas de ejecución remota de código contra los sistemas que siguen vulnerables. El impacto real de esta vulnerabilidad también se ve limitado debido a que los usuarios no usan WinRM de forma predeterminada. De manera similar, muchas empresas probablemente deberían estar a salvo de los ataques contra este complemento, ya que generalmente no implementan las últimas versiones de Windows Server tan pronto como se publican.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
