/https://www.ilsoftware.it/app/uploads/2023/05/img_22992.jpg "Windows 10 e Windows Server aggredibili a distanza: in quali circostanze può accadere")
Nei giorni scorsi, in occasione del “patch day” di maggio 2021, Microsoft ha confermato l’esistenza del problema di sicurezza CVE-2021-31166 in Windows 10 e Windows Server definendolo wormable.
Eventuali aggressori possono infatti sfruttare da remoto un problema insito in IIS, il web server Microsoft, e utilizzarlo per eseguire codice arbitrario sulle macchine vulnerabili.
Il problema è stato definito di impatto complessivamente contenuto perché le versioni di Windows Server coinvolte sono solo quelle basate sul kernel condiviso con Windows 10 e nello specifico solo le release 2004 e 20H2 (quindi soltanto le due versioni di Windows 10 e Windows Server rilasciate nel 2020).
Su Windows 10, inoltre, di solito non è installato il web server IIS e soprattutto non è generalmente esposto sulla rete Internet.
In queste ore è però emerso che la problematica non riguarda soltanto IIS ma anche WinRM (Windows Remote Management) ovvero il sistema che permette di amministrare i sistemi Windows a distanza. Abbiamo già visto com’è possibile amministrare Windows con WinRM e PowerShell.
Anche i sistemi Windows Server e Windows 10 (entrambi relativamente alle versioni 2004 e 20H2) che usano WinRM e che sono esposti sulla rete Internet possono essere quindi oggetto di aggressione in mancanza della patch di sicurezza rilasciata da Microsoft.
Il ricercatore Jim DeVries si è accorto che il file di sistema HTTP.sys affetto dal problema non è utilizzato soltanto da IIS ma anche da WinRM ampliando quindi il numero di sistemi che possono essere oggetto di attacco.
WinRM è infatti ampiamente utilizzato in ambito aziendale per controllare server PC, workstation e server modificandone la configurazione a distanza.
Su Windows Server versioni 2004 e 20H2, inoltre, WinRM risulta abilitato per impostazione predefinita.
Con una semplice verifica usando il motore di ricerca Shodan ci si accorge che sono attualmente oltre 2 milioni i sistemi Windows esposti in rete con WinRM abilitato.
/https://www.ilsoftware.it/app/uploads/2024/11/hotpatch-windows-11.jpg "Hotpatch per Windows 11: Microsoft lo abiliti per tutti i professionisti!")
/https://www.ilsoftware.it/app/uploads/2024/10/flyby11-forza-aggiornamento-windows-11.jpg "Usi ancora Windows 10? Ecco come Microsoft ti spinge a comprare un nuovo PC")
/https://www.ilsoftware.it/app/uploads/2024/11/compleanno-windows.jpg "Buon compleanno Windows: le immagini di boot utilizzate per 39 anni")
/https://www.ilsoftware.it/app/uploads/2024/11/ripristino-boot-windows-da-remoto.jpg "Windows 11 riparabile da remoto con Quick Machine Recovery: grande intuizione o novità agghiacciante?")