Microsoft ha parcheado una vulnerabilidad crítica en las últimas versiones de servidor y hogar de Windows 10, lo que lleva a ataques de ejecución remota de código si se explota. La vulnerabilidad es específica de la pila de protocolo HTTP en el servidor web de Information Services (IIS), que se utiliza para procesar solicitudes HTTP. Además, un investigador de seguridad lanzó un código de prueba de concepto de demostración para esto.
Vulnerabilidad HTTP en Windows 10
La ejecución remota de código es un exploit en el que un atacante aprovecha una vulnerabilidad conocida en el software y ejecuta código arbitrario para ejecutar tareas maliciosas en la computadora de la víctima. Esto a menudo se soluciona mediante la aplicación de parches de software por parte de los proveedores, y es deber de los usuarios aplicarlos siempre que estén disponibles.
Microsoft lanzó uno de esos parches en la actualización acumulativa de Windows 10 de este mes, que protege la vulnerabilidad HTTP (rastreada como CVE-2021-31166) que afectan a Windows 10 2004/20H2 y Windows Server versiones 2004/20H2. Los investigadores dijeron que esta vulnerabilidad podría permitir que un atacante procese una ejecución remota de código si se explota.
El problema se relaciona especialmente con la pila de protocolo HTTP (HTTP.sys) utilizada por el servidor web de Windows Internet Information Services (IIS), que procesa las solicitudes HTTP al ser un detector de protocolo. Después de que Microsoft lanzó un parche para esto, Axel Souchetun investigador de seguridad, publicado un código de prueba de concepto de demostración por esta vulnerabilidad que no puede propagarse automáticamente entre los sistemas conectados.
Creé un PoC para CVE-2021-31166, la “vulnerabilidad de ejecución remota de código de pila de protocolo HTTP”: https://t.co/8mqLCByvCp 🔥🔥 pic.twitter.com/yzgUs2CQO5
— Axel Souchet (@0vercl0k) 16 de mayo de 2021
Si bien la amenaza en sí está limitada a una computadora, puede dejar en blanco el sistema para pasar a la pantalla azul de la muerte (BSOD) si se explota. Explicó que como,
“Cuando termina, lo mueve a la estructura de Solicitud; pero no anula la lista local. El problema con eso es que un atacante puede activar una ruta de código que libera todas las entradas de la lista local dejándolas colgando en el objeto Solicitud.“
Como es lo suficientemente crítico y puede explotarse con los códigos PoC de demostración en la naturaleza, Microsoft recomienda encarecidamente a los usuarios que actualicen sus sistemas Windows 10 a la última versión que se está impulsando para protegerse.
