Já no passado Patch Tuesday da Microsoft deste mês, tinha já sido endereçada a falha na stack do Protocolo HTTP do servidores Windows IIS, e descobriu-se que também afeta o WinRM (Windows Remote Management) no windows 10 e sistemas de servidores.
A falha pode ser explorada pelo atacante através de um pacote especialmente criado e dirigido a um servidor alvo, usando a stack do protocolo http (http.sys) para processar os pacotes.
Portanto, se o serviço estiver ativo, é facilmente explorável.
Versões afetadas:
Windows 10 todas as versões
Windows Server 2004
Windows server 20H2
O PoC (prova de conceito) foi recentemente publicado no twitter pelo próprio investigador que descobriu esta falha, e permite deitar abaixo qualquer sistema windows que não tenha esta falha corrigida e que esteja a correr um servidor IIS
O serviço é a implementação da Microsoft do Protocolo WS-Management, um protocolo de firewall baseado no Protocolo de Acesso Simples a Objetos, e que permite a interoperacionalidade entre diferentes sistemas operativos e hardware de diferentes vendors.
Foi possível verificar, através da plataforma shodan, que existem milhões de sistemas afetados pela falha.
O que se deve fazer
- Fazer as atualizações do sistema o mais rapidamente possível
Mais informações: https://threatpost.com/windows-exploit-wormable-rce/166289/
Advisory da microsoft para esta falha: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-31166
