Windows 10 e Windows Server aggredibili a distanza: in quali circostanze può accadere

Il problema interessa soltanto le versioni del 2020 di Windows 10 e Windows Server. È però presente non soltanto in IIS ma anche nel componente WinRM, abilitato per impostazione predefinita sui sistemi server.
Michele Nasi
Pubblicato il 24 mag 2021
Windows 10 e Windows Server aggredibili a distanza: in quali circostanze può accadere

Nei giorni scorsi, in occasione del “patch day” di maggio 2021, Microsoft ha confermato l’esistenza del problema di sicurezza CVE-2021-31166 in Windows 10 e Windows Server definendolo wormable.
Eventuali aggressori possono infatti sfruttare da remoto un problema insito in IIS, il web server Microsoft, e utilizzarlo per eseguire codice arbitrario sulle macchine vulnerabili.

Il problema è stato definito di impatto complessivamente contenuto perché le versioni di Windows Server coinvolte sono solo quelle basate sul kernel condiviso con Windows 10 e nello specifico solo le release 2004 e 20H2 (quindi soltanto le due versioni di Windows 10 e Windows Server rilasciate nel 2020).

Su Windows 10, inoltre, di solito non è installato il web server IIS e soprattutto non è generalmente esposto sulla rete Internet.

In queste ore è però emerso che la problematica non riguarda soltanto IIS ma anche WinRM (Windows Remote Management) ovvero il sistema che permette di amministrare i sistemi Windows a distanza. Abbiamo già visto com’è possibile amministrare Windows con WinRM e PowerShell.
Anche i sistemi Windows Server e Windows 10 (entrambi relativamente alle versioni 2004 e 20H2) che usano WinRM e che sono esposti sulla rete Internet possono essere quindi oggetto di aggressione in mancanza della patch di sicurezza rilasciata da Microsoft.

Il ricercatore Jim DeVries si è accorto che il file di sistema HTTP.sys affetto dal problema non è utilizzato soltanto da IIS ma anche da WinRM ampliando quindi il numero di sistemi che possono essere oggetto di attacco.
WinRM è infatti ampiamente utilizzato in ambito aziendale per controllare server PC, workstation e server modificandone la configurazione a distanza.
Su Windows Server versioni 2004 e 20H2, inoltre, WinRM risulta abilitato per impostazione predefinita.

Con una semplice verifica usando il motore di ricerca Shodan ci si accorge che sono attualmente oltre 2 milioni i sistemi Windows esposti in rete con WinRM abilitato.

Ti consigliamo anche

Windows 7 Simulator, con un clic si torna al vecchio sistema operativo
Windows

Windows 7 Simulator, con un clic si torna al vecchio sistema operativo
KB5046617 e KB5046633: cosa contengono gli aggiornamenti per Windows 11
Windows

KB5046617 e KB5046633: cosa contengono gli aggiornamenti per Windows 11
Windows 11: Microsoft non uccida il sottosistema Android (WSA)
Android

Windows 11: Microsoft non uccida il sottosistema Android (WSA)
Microsoft intende potenziare il tasto Condividi di Windows 11?
Windows

Microsoft intende potenziare il tasto Condividi di Windows 11?
Link copiato negli appunti