Já no passado Patch Tuesday da Microsoft deste mês, tinha já sido endereçada a falha na stack do Protocolo HTTP do servidores Windows IIS, e descobriu-se que também afeta o WinRM (Windows Remote Management) no windows 10 e sistemas de servidores.

A falha pode ser explorada pelo atacante através de um pacote especialmente criado e dirigido a um servidor alvo, usando a stack do protocolo http (http.sys) para processar os pacotes.

Portanto, se o serviço estiver ativo, é facilmente explorável.

Versões afetadas:

Windows 10 todas as versões

Windows Server 2004

Windows server 20H2

O PoC (prova de conceito) foi recentemente publicado no twitter pelo próprio investigador que descobriu esta falha, e permite deitar abaixo qualquer sistema windows que não tenha esta falha corrigida e que esteja a correr um servidor IIS

O serviço é a implementação da Microsoft do Protocolo WS-Management, um protocolo de firewall baseado no Protocolo de Acesso Simples a Objetos, e que permite a interoperacionalidade entre diferentes sistemas operativos e hardware de diferentes vendors.

Foi possível verificar, através da plataforma shodan, que existem milhões de sistemas afetados pela falha.

O que se deve fazer

- Fazer as atualizações do sistema o mais rapidamente possível

Mais informações: https://threatpost.com/windows-exploit-wormable-rce/166289/

Advisory da microsoft para esta falha: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-31166