Una vulnerabilidad HTTP importante en Windows podría conducir a un exploit Wormable


Hoy, Microsoft lanzó una vulnerabilidad muy crítica (CVE-2021-31166) en su servidor web http.sys. Este producto es un servidor HTTP solo para Windows que se puede ejecutar de forma independiente o junto con IIS (Servicios de información de World wide web) y se utiliza para gestionar el tráfico de World wide web a través de solicitudes de pink HTTP. La vulnerabilidad es muy comparable a CVE-2015-1635, otra vulnerabilidad de Microsoft en la pila de purple HTTP informada en 2015.

Con una puntuación CVSS de 9,8, la vulnerabilidad anunciada tiene el potencial de tener un impacto directo y también es excepcionalmente fácil de explotar, lo que lleva a una denegación de servicio remota y no autenticada (pantalla azul de la muerte) para los productos afectados.

El problema se debe a que Home windows realiza un seguimiento incorrecto de los punteros mientras procesa objetos en paquetes de purple que contienen solicitudes HTTP. Como HTTP.SYS se implementa como un controlador del kernel, la explotación de este error dará como resultado al menos una pantalla azul de la muerte (BSoD) y, en el peor de los casos, la ejecución remota de código, que podría ser desparasitable. Si bien esta vulnerabilidad es excepcional en términos de impacto potencial y facilidad de explotación, queda por ver si se logrará una ejecución efectiva del código. Además, esta vulnerabilidad solo afecta a las últimas versiones de Home windows 10 y Home windows Server (2004 y 20H2), lo que significa que la exposición de los servidores empresariales orientados a Online es bastante limitada, ya que muchos de estos sistemas ejecutan versiones de Lengthy Expression Servicing Channel (LTSC). como Home windows Server 2016 y 2019, que no son susceptibles a esta falla.

En el momento de redactar este documento, no tenemos conocimiento de ninguna explotación «in-the-wild» para CVE-2021-31166, pero continuaremos monitoreando el panorama de amenazas y brindando actualizaciones relevantes. Instamos a los usuarios de Windows a que apliquen el parche de inmediato siempre que sea posible, prestando especial atención a los dispositivos externos que podrían verse comprometidos desde World-wide-web. Para aquellos que no pueden aplicar la actualización de Microsoft, proporcionamos un «parche virtual» en forma de una firma IPS de pink que se puede utilizar para detectar y prevenir intentos de explotación de esta vulnerabilidad.

Protección de McAfee Network Safety Platform (NSP)
Versión de Sigset: 10.8.21.2
ID de ataque: 0x4528f000
Nombre del ataque: HTTP: vulnerabilidad de ejecución remota de código de pila de protocolo HTTP de Microsoft (CVE-2021-31166)

Artículo KB94510 de la foundation de conocimientos de McAfee:
https://kc.mcafee.com/company/index?web page=articles&id=KB94510





Enlace a la noticia first