17 may. 2021

Vulnerabilidad crítica en IIS de Windows 10 - CVE-2021-31166 (Parchea YA!)

Un investigador de seguridad publicó durante el fin de semana un código de explotación de Prueba de Concepto para una vulnerabilidad de servidor IIS embebido de Windows que se puede hacer wormeable. Esta vulnerabilidad fue corregida en las actualizaciones del martes pasado (mato 2021).

Identificada como CVE-2021-31166, la vulnerabilidad fue descubierta internamente por el personal de Microsoft y parcheada la semana pasada en el martes de parches de mayo de 2021. Aquí la guía de actualización Microsoft sobre la misma.

Varios investigadores de seguridad y empresas de seguridad que revisaron las actualizaciones de seguridad de la semana pasada consideraron que el error era la vulnerabilidad más peligrosa que Microsoft solucionó en el ciclo de parches de este mes.

El error, que recibió una calificación de gravedad de 9,8 sobre 10 en la escala CVSSv3, es una vulnerabilidad de corrupción de memoria en la pila del protocolo HTTP (http.sys) incluida en las versiones recientes de Windows. Esta pila es utilizada por el servidor IIS integrado de Windows y, si este servidor está habilitado, Microsoft dice que un atacante puede enviar un paquete con formato incorrecto y ejecutar código malicioso directamente en el kernel del sistema operativo.

En su aviso de seguridad, Microsoft dice que el error podría usarse para crear gusanos de red que salten de un servidor a otro y recomendó "priorizar el parcheo de los servidores afectados".

Pero si bien el error suena extremadamente peligroso, también existen algunos factores de mitigación. Paradójicamente, la primera mitigación es que solo se ven afectadas las versiones recientes de Windows. Esto incluye Windows 10 2004 y 20H2, y Windows Server 2004 y 20H2, que básicamente incluye las versiones del sistema operativo Windows 10 y Windows Server lanzadas el año pasado, que es muy poco probable que se hayan implementado ampliamente en entornos de producción. Si no es necesario se recomienda desactivar este servicio.

El domingo, el ex ingeniero de Microsoft y actual investigador de seguridad Axel Souchet publicó un código de prueba de concepto para explotar CVE-2021-31166. El código no incluye capacidades de reproducción, pero solo bloquea un sistema Windows sin parches que ejecuta un servidor IIS.

Sin embargo, la disponibilidad de la PoC suele ser el primer paso para que los atacantes experimenten con este ataque. Incluso si el número de servidores IIS de Windows vulnerables puede ser pequeño, esto no disuadirá a los atacantes; que por lo general toman todo lo que pueden conseguir.

Fuente: The Record Media

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!