Nei giorni scorsi, in occasione del “patch day” di maggio 2021, Microsoft ha confermato l’esistenza del problema di sicurezza CVE-2021-31166 in Windows 10 e Windows Server definendolo wormable.
Eventuali aggressori possono infatti sfruttare da remoto un problema insito in IIS, il web server Microsoft, e utilizzarlo per eseguire codice arbitrario sulle macchine vulnerabili.
Il problema è stato definito di impatto complessivamente contenuto perché le versioni di Windows Server coinvolte sono solo quelle basate sul kernel condiviso con Windows 10 e nello specifico solo le release 2004 e 20H2 (quindi soltanto le due versioni di Windows 10 e Windows Server rilasciate nel 2020).
Su Windows 10, inoltre, di solito non è installato il web server IIS e soprattutto non è generalmente esposto sulla rete Internet.
In queste ore è però emerso che la problematica non riguarda soltanto IIS ma anche WinRM (Windows Remote Management) ovvero il sistema che permette di amministrare i sistemi Windows a distanza. Abbiamo già visto com’è possibile amministrare Windows con WinRM e PowerShell.
Anche i sistemi Windows Server e Windows 10 (entrambi relativamente alle versioni 2004 e 20H2) che usano WinRM e che sono esposti sulla rete Internet possono essere quindi oggetto di aggressione in mancanza della patch di sicurezza rilasciata da Microsoft.
Il ricercatore Jim DeVries si è accorto che il file di sistema HTTP.sys
affetto dal problema non è utilizzato soltanto da IIS ma anche da WinRM ampliando quindi il numero di sistemi che possono essere oggetto di attacco.
WinRM è infatti ampiamente utilizzato in ambito aziendale per controllare server PC, workstation e server modificandone la configurazione a distanza.
Su Windows Server versioni 2004 e 20H2, inoltre, WinRM risulta abilitato per impostazione predefinita.
Con una semplice verifica usando il motore di ricerca Shodan ci si accorge che sono attualmente oltre 2 milioni i sistemi Windows esposti in rete con WinRM abilitato.