Windows Server: Vulnerabilidad de Wormable descubierta en versiones más recientes

No solo las máquinas con el servidor web IIS sino también otros sistemas que usan el componente http.sys corren el riesgo de ser atacados. La vulnerabilidad se introdujo en Windows Server 2019 y Windows 10 versión 1809, pero es explotable "de forma predeterminada" en versiones posteriores del sistema operativo.

el fallas de seguridad relacionados con los componentes que están expuestos en la red son la "bestia negra" para todos los administradores de TI.

Con el día del parche Microsoft a partir de enero de 2022 reveló la existencia de una peligrosa vulnerabilidad en las versiones más recientes de Servidor de windows así como en Windows 10 y Windows 11.

El problema en cuestión afecta el archivo del sistema. http.sys que normalmente se describe como el componente que subyace al funcionamiento del servidor web IIS (Servicios de Información de Internet), que se puede instalar no solo en Windows Server, sino también en las versiones cliente del sistema operativo de Microsoft. El mismo archivo, sin embargo, es parte integral de muchos otros componentes de software ampliamente utilizados en la empresa: piense por ejemplo en WinRM (Gestión remota de Windows) y WSDAPI (Servicios web para dispositivos).

Como explica Microsoft en el documento de soporte para la falla CVE-2022-21907, el error de seguridad parece particularmente malo especialmente en Windows Server porque en muchos casos estas son máquinas que usan IIS u otros componentes basados ​​en http.sys.

Un atacante remoto puede ejecutar código malicioso en el sistema vulnerable a través de la red sin tener credenciales de autenticación y sin necesidad de interacción alguna por parte de la víctima. Por eso es uno vulnerabilidad gusano: Los servidores no seguros pueden ser atacados de forma remota y utilizados para escanear la red en busca de otras máquinas para atacar.

La vulnerabilidad en cuestión, que afortunadamente aún no ha sido utilizada por los ciberdelincuentes, fue introducida en Windows Server 2019 y Windows 10 versión 1809. Sin embargo, estas versiones del sistema operativo de Microsoft integran una configuración a nivel de registro que deshabilita el componente vulnerable: por defecto, por lo tanto, las instalaciones estándar no son atacables de inmediato.

Todos las versiones posteriores de Windows y Windows Server son vulnerables porque la misma funcionalidad que actualmente se corrige con el lanzamiento de un parche oficial ahora está habilitada de forma predeterminada.

¿De qué característica estamos hablando? Microsoft explica que http.sys El registro de Windows puede configurarlo para enviar paquetes de solicitud y respuesta divididos en fragmentos. El mecanismo llama Remolque y es manejable a través de la tecla HKLMSistemaCurrentControlSetServiciosHTTPParameterEnableTrailerSupport.

Usando la función Remolque, por ejemplo, se puede aplazar la transmisión de las cabeceras ("headers") de una página web dando máxima prioridad a la carga del cuerpo de la propia página.

Para verificar si su instalación de Windows es vulnerable, puede abrir uno finestra PowerShell y escriba lo siguiente:
Get-ItemProperty "HKLM:SystemCurrentControlSetServicesHTTPParameters" | Seleccionar objeto EnableTrailerSupport

Si la respuesta recibió el valor DWORD 1 en EnableTrailerSupport significa que en ausencia de la actualización resolutiva que acaba de publicar Microsoft, el sistema en uso podría ser atacado remotamente.

En todas las versiones más recientes de Windows, al usar el componente http.sys, por lo tanto, se recomienda encarecidamente la instalación oportuna del parche de Microsoft. También porque aunque de momento no se conocen códigos explotar trabajando, según los mismos técnicos de la empresa de Redmond, una explotación de la vulnerabilidad CVE-2022-21907 podría ser inminente.

El comando netsh http muestra el estado del servicio le ayuda a averiguar si estaba usando el componente http.sys mientras que la presencia de la referencia Codificación de transferencia: fragmentada en los encabezados devueltos por un servidor web (puede consultar con el Herramientas de desarrollo navegador, tecla F12, sección Red) significa que la funcionalidad Remolque está activo y en uso.

Rate this post

Exequiel Villalobos Gaytan

Exequiel Villalobos Gaytan trabajó como reportero para ElPais.com de 1995 a 2009, siendo autor de más de 1.300 entradas en el blog Muy Computer Pro, así como de cientos de historias para eldiario.es y actualmente se encuentra escribiendo en Reporte Virtual, en todos los asuntos referidos a seguridad informática

Subir