Axel Souchet, investigador de seguridad que solía trabajar para Microsoft, reveló el código de explotación de prueba de concepto (PoC) para abusar de una vulnerabilidad de servidor IIS de Windows. La vulnerabilidad, identificada como CVE-2021-31166 fue descubierta por los equipos de seguridad de Microsoft y corregida a inicios de mayo de 2021.
La falla recibió un puntaje de 9.8/10 en la escala del Common Vulnerability Scoring System (CVSS) y fue descrita como una falla de corrupción de memoria en la pila del protocolo HTTP incluida en las versiones más recientes del sistema Windows.
La pila es utilizada por el servidor IIS integrado de Windows; si este servidor está habilitado, Microsoft señala que los actores de amenazas podrían enviar un paquete con formato incorrecto y ejecutar código malicioso directamente en el kernel del sistema operativo. El reporte de la compañía menciona que la falla podría usarse para crear gusanos de red que salten de un servidor a otro y recomendó priorizar el parcheo de los servidores afectados.
Los investigadores de Microsoft también dieron a conocer algunos factores que limitan el riesgo de explotación; para comenzar, solo las versiones más recientes de Windows se ven afectadas por esta falla. Las versiones impactadas incluyen Windows 10 2004 y 20H2, además de Windows Server 2004 y 20H2, lanzadas durante los últimos doce meses.
El pasado fin de semana, Souchet publicó la PoC para la explotación de la falla. Este código no incluye capacidades de worming, pues solo bloquea el sistema Windows impactado siempre y cuando éste ejecute un servidor IIS.
La publicación de un código PoC suele ser el primero paso para que los actores de amenazas traten de explotar la vulnerabilidad, incluso si el número de servidores IIS de Windows vulnerables es reducido o indeterminado. La compañía solicita a los usuarios de implementaciones afectadas actualizar a la brevedad, ya que el riesgo de explotación es latente y aún puede haber muchos administradores que no han actualizado a una versión segura.
Este no es el único riesgo similar con el que Microsoft ha lidiado; en junio de 2019, un actor de amenazas explotó una vulnerabilidad de Exim para crear un gusano que se propagó a través de los servidores en la nube de Azure basados en Linux de la empresa. Si bien es muy probable que Microsoft haya parcheado los servidores IIS en su infraestructura de Azure, todavía hay otros proveedores de nube y redes corporativas en las que la falla podría ser explotada actualmente.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
