Lanzamiento de exploit para la vulnerabilidad HTTP de Windows

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El código de un Poc o  prueba de concepto, se lanzó durante el fin de semana para una vulnerabilidad de gusano, catalogada como crítica, en las últimas versiones de Windows 10 y Windows Server.

El error, rastreado como CVE-2021-31166, se encontró en la pila de protocolos HTTP (HTTP.sys) utilizada por el servidor web de Windows Internet Information Services (IIS) como escucha de protocolo para procesar solicitudes HTTP.

Microsoft ha parcheado la vulnerabilidad durante el martes de parches de este mes, y solo afecta a las versiones 2004 / 20H2 de Windows 10 y las versiones 2004 / 20H2 de Windows Server.

Los exploits CVE-2021-31166 requieren que los atacantes envíen paquetes creados con fines malintencionados a los servidores de destino que utilizan la pila de protocolo HTTP vulnerable para procesar los paquetes.

Microsoft recomienda priorizar la aplicación de parches a todos los servidores afectados, ya que el error podría permitir que atacantes no autenticados ejecuten código arbitrario de forma remota "en la mayoría de las situaciones".

El exploit de demostración desencadena pantallas azules de la muerte (blue screens of death)

El código publicado por el investigador de seguridad Axel Souchet el domingo, es una prueba de concepto (PoC) que carece de capacidades de propagación automática.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Su exploit PoC abusa de un "use-after-free" desreferencia en HTTP.sys para desencadenar una denegación de servicio (DoS), lo que lleva a una pantalla azul de la muerte BSOD en sistemas vulnerables.

"El error en sí ocurre en http! UlpParseContentCoding donde la función tiene un LIST_ENTRY local y le agrega un elemento", explica Souchet.
"El problema con eso es que un atacante puede activar una ruta de código que libera todas las entradas de la lista local dejándolas colgando en el objeto Solicitud".

La mayoría de los objetivos potenciales probablemente estén a salvo de los ataques

Si bien el lanzamiento de PoC podría permitir a los actores de amenazas desarrollar los suyos más rápido, lo que podría permitir la ejecución remota de código, el proceso de parcheo también debería ser rápido y el impacto limitado dado que la mayoría de los usuarios domésticos con las últimas versiones de Windows 10 ya deberían haberse actualizado a principios de esta semana.

Del mismo modo, es probable que la mayoría de las empresas estén a salvo de exploits dirigidos al error CVE-2021-31166, ya que no suelen utilizar las últimas versiones de Windows Server.

Microsoft ha corregido otros errores de gusano en los últimos dos años, lo que ha afectado a la plataforma de Servicios de escritorio remoto (RDS) (también conocida como BlueKeep), el protocolo Server Message Block v3 (también conocido como SMBGhost) y el servidor DNS de Windows (también conocido como SIGRed).

Los atacantes aún deben abusar de ellos para crear malware capaz de propagarse entre computadoras que ejecutan estos componentes vulnerables de Windows.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta