Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
mayo
(Total:
67
)
- Herramientas ingeniería inversa: análisis de malwa...
- Campaña de publicidad maliciosa en Google con en e...
- Alternativas a la red TOR y a su navegador
- Auditoría de seguridad VoIP de Asterisk con Metasp...
- Historia del primer ataque de ransomware realizado...
- INCIBE publica Glosario de Términos de Ciberseguridad
- El FBI compartirá contraseñas robadas en ataques a...
- El mercado ruso Hydra DarkNet ganó más de 1.3 bill...
- Malware para macOS permite tomar capturas de panta...
- El fabricante de audio Bose revela una violación d...
- Ministerio del Interior Belga fue objetivo de un "...
- bettercap: la navaja suiza del tráfico de red
- Vulnerabilidad crítica en HTTP (http.sys) afecta I...
- Dos niños cortan Internet de la casa de la profeso...
- Remmina: cliente de escritorio remoto para Linux
- Europa quiere acabar con las retransmisiones strea...
- ProxyChains: cadena de proxys para ocultar nuestra IP
- CrackMapExec: navaja suiza para el pentesting en W...
- Google Reader podría volver integrado en Chrome
- Después de 3 años Twitter reactiva la verificación...
- Presentan unidades SSD con protección anti ransomw...
- 5 minutos después del lanzamiento del parche de Ex...
- Gestores de contraseñas libres y gratuitos para Linux
- mimikatz: herramienta extracción credenciales de W...
- Disponible la última versión Wifislax64 2021
- Ransomware DarkSide ha ganado más de 90 millones e...
- Buscadores de personas por internet
- mRemoteNG, un terminal avanzado conexiones remotas...
- Magecart oculta skimmers en los favicons de las pá...
- Scheme Flooding: vulnerabilidad permite el seguimi...
- Hackean un Tesla a distancia vía WiFi usando un dron
- CloudFlare quiere acabar con los molestos Captchas
- Asignan por error 600 millones de IP's a una granj...
- Toshiba Francia afectada por el ransomware DarkSide
- Grupo AXA de Asia afectado por el ransomware Avaddon
- Desaparece el ransomware DarkSide por la presión d...
- Ransomware DarkSide gana casi 10 millones de dólar...
- Distribuidor de productos químicos Brenntag paga 4...
- El servicio nacional de salud de Irlanda afectado ...
- El oleoducto más grande de Estados Unidos Colonial...
- Actualizaciones de seguridad importantes para prod...
- Vulnerabilidades de la tecnología 5G
- FragAttacks: múltiples vulnerabilidades diseño est...
- iOS 14.5 de Apple presenta nuevos controles de pri...
- Aseguradora AXA detiene el reembolso por delitos d...
- Un ciberataque de ransomware a la mayor empresa de...
- Ransomware Zeppelin afecta empresa ASAC y deja sin...
- Bypass autenticación en routers Asus GT-AC2900
- Actualizaciones de seguridad críticas para lector ...
- Automatizar tareas en Windows con AutoHotkey
- Phirautee: un ransomware con fines educativos
- Nginx supera a Apache como servidor web más utilizado
- Facebook bloquea una campaña de publicidad de Signal
- MobaXterm: terminal para Windows con cliente SSH y...
- Microsoft detalla el final definitivo de Adobe Fla...
- Muon Snowflake, cliente SSH y SFTP para Windows y ...
- Nuevo tipo de ataque afecta a procesadores Intel y...
- Vulnerabilidad importante driver BIOS ordenadores ...
- PhotoRec: recupera ficheros borrados accidentalmente
- Seguridad en contenedores Kubernetes
- Glovo sufre un ciberataque con filtración de datos...
- En Europa las plataformas de Internet deberán elim...
- Cifrado del correo electrónico
- Desmantelan Boystown, portal de pornografía infant...
- Errores en el software BIND exponen los servidores...
- Roban datos de jugadores, contratos y presupuestos...
- ¿Cómo desbloqueó el FBI el iPhone de San Bernardino?
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Vulnerabilidad crítica en HTTP (http.sys) afecta IIS y WinRM de Windows
Un investigador de seguridad publicó durante el fin de semana un código de explotación de Prueba de Concepto para una vulnerabilidad de servidor IIS embebido de Windows que se puede hacer wormeable. Esta vulnerabilidad fue corregida en las actualizaciones del martes pasado (mayo 2021).
Identificada como CVE-2021-31166, la vulnerabilidad fue descubierta internamente por el personal de Microsoft y parcheada la semana pasada en el martes de parches de mayo de 2021. Aquí la guía de actualización Microsoft sobre la misma.
Varios investigadores de seguridad y empresas de seguridad que revisaron las actualizaciones de seguridad de la semana pasada consideraron que el error era la vulnerabilidad más peligrosa que Microsoft solucionó en el ciclo de parches de este mes.
El error, que recibió una
calificación de gravedad de 9,8 sobre 10 en la escala CVSSv3, es una vulnerabilidad de corrupción de memoria en la pila del protocolo
HTTP (http.sys) incluida en las versiones recientes de Windows. Esta pila es utilizada por
el servidor IIS integrado de Windows y, si este servidor está habilitado,
Microsoft dice que un atacante puede enviar un paquete con formato incorrecto
y ejecutar código malicioso directamente en el kernel del sistema
operativo.
En su
aviso de seguridad, Microsoft dice que el error podría usarse para crear gusanos de red que
salten de un servidor a otro y recomendó
"priorizar el parcheo de los servidores afectados".
Pero si bien el error suena extremadamente peligroso, también existen algunos factores de mitigación. Paradójicamente, la primera mitigación es que solo se ven afectadas las versiones recientes de Windows. Esto incluye Windows 10 2004 y 20H2, y Windows Server 2004 y 20H2, que básicamente incluye las versiones del sistema operativo Windows 10 y Windows Server lanzadas el año pasado, que es muy poco probable que se hayan implementado ampliamente en entornos de producción. Si no es necesario se recomienda desactivar este servicio.
El domingo, el ex ingeniero de Microsoft y actual investigador de seguridad Axel Souchet publicó un código de prueba de concepto para explotar CVE-2021-31166. El código no incluye capacidades de reproducción, pero solo bloquea un sistema Windows sin parches que ejecuta un servidor IIS.
CVE-2021-31166 La falla HTTP de Windows también afecta a los servidores WinRM
La vulnerabilidad de gusano CVE-2021-31166 en la pila de protocolo HTTP del servidor IIS de Windows también afecta a WinRM en los sistemas Windows 10 y Server.
El martes de parches de Microsoft para las actualizaciones de seguridad de mayo de 2021 abordaron 55 vulnerabilidades en Microsoft, incluida una vulnerabilidad crítica de ejecución de código remoto de pila de protocolo HTTP rastreada como CVE-2021-31166. La falla podría ser aprovechada por un atacante no autenticado enviando un paquete especialmente diseñado a un servidor de destino utilizando HTTP Protocol Stack (http.sys) para procesar paquetes.
Esta pila es utilizada por el servidor IIS integrado de Windows, lo que significa que podría explotarse fácilmente si el servidor está habilitado. La falla se puede eliminar y afecta a diferentes versiones de Windows 10, Windows Server 2004 y Windows Server 20H2.
El investigador de seguridad Axel Souchet ha publicado un código de exploit de prueba de concepto para la falla de gusano que afectó a Windows IIS.
El código de explotación de PoC permite bloquear un sistema Windows sin parches que ejecuta un servidor IIS, no implementa capacidades de desparasitación. De todos modos, los atacantes podrían comenzar a activar la vulnerabilidad en la naturaleza, el código PoC podría mejorarse para ser explotado activamente.
WinRM está habilitado de forma predeterminada en terminales empresariales
Pero el investigador de seguridad Jim DeVries informó que el problema también afecta a los dispositivos Windows 10 y Server que ejecutan el servicio de administración remota de Windows (WinRM). un componente del conjunto de funciones de administración de hardware de Windows que también hace uso de HTTP.sys vulnerable.
Windows Remote Management (WinRM) es la implementación de Microsoft del WS-Management Protocol, un protocolo estándar basado en el Protocolo simple de acceso a objetos (SOAP) y compatible con firewall que permite que el hardware y los sistemas operativos, de diferentes proveedores, interoperen.
El servicio WinRM está habilitado de forma predeterminada en los servidores de Windows que ejecutan las versiones 2004 o 20H2, por esta razón solo representa un riesgo grave para los entornos corporativos, explicó DeVries
Al consultar el motor de búsqueda Shodan, podemos encontrar que más de 2 millones de sistemas Windows que ejecutan el servicio WinRM están expuestos en línea, y los que ejecutan las versiones 2004 y 20H2 son vulnerables al exploit CVE-2021-31166.
Afortunadamente, aunque puede ser objeto de abuso por amenazas en ataques de ejecución remota de código (RCE), la vulnerabilidad SÓLO afecta a las versiones 2004 y 20H2 de Windows 10 y Windows Server.
El error se encuentra en la pila de protocolo HTTP (HTTP.sys) que el servidor web Windows IIS utiliza como escucha de protocolo para procesar solicitudes HTTP.
Sin embargo, como lo descubrió el investigador de seguridad Jim DeVries, también afecta a los dispositivos Windows 10 y Server que ejecutan el servicio WinRM (abreviatura de Windows Remote Management), un componente del conjunto de funciones de administración de hardware de Windows que también hace uso del vulnerable HTTP.sys.
Si bien los usuarios domésticos tienen que habilitar el servicio WinRM manualmente en sus sistemas Windows 10, los puntos finales empresariales de Windows Server tienen WinRM activado de forma predeterminada, lo que los hace vulnerables a los ataques si ejecutan las versiones 2004 o 20H2.
Fuentes:
https://blog.segu-info.com.ar/2021/05/vulnerabilidad-critica-en-iis-de.html
https://securityaffairs.co/wordpress/118189/security/cve-2021-31166-windows-http-flaw.html
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.