/https://www.ilsoftware.it/app/uploads/2023/05/img_22992.jpg "Windows 10 e Windows Server aggredibili a distanza: in quali circostanze può accadere")
Nei giorni scorsi, in occasione del “patch day” di maggio 2021, Microsoft ha confermato l’esistenza del problema di sicurezza CVE-2021-31166 in Windows 10 e Windows Server definendolo wormable.
Eventuali aggressori possono infatti sfruttare da remoto un problema insito in IIS, il web server Microsoft, e utilizzarlo per eseguire codice arbitrario sulle macchine vulnerabili.
Il problema è stato definito di impatto complessivamente contenuto perché le versioni di Windows Server coinvolte sono solo quelle basate sul kernel condiviso con Windows 10 e nello specifico solo le release 2004 e 20H2 (quindi soltanto le due versioni di Windows 10 e Windows Server rilasciate nel 2020).
Su Windows 10, inoltre, di solito non è installato il web server IIS e soprattutto non è generalmente esposto sulla rete Internet.
In queste ore è però emerso che la problematica non riguarda soltanto IIS ma anche WinRM (Windows Remote Management) ovvero il sistema che permette di amministrare i sistemi Windows a distanza. Abbiamo già visto com’è possibile amministrare Windows con WinRM e PowerShell.
Anche i sistemi Windows Server e Windows 10 (entrambi relativamente alle versioni 2004 e 20H2) che usano WinRM e che sono esposti sulla rete Internet possono essere quindi oggetto di aggressione in mancanza della patch di sicurezza rilasciata da Microsoft.
Il ricercatore Jim DeVries si è accorto che il file di sistema HTTP.sys affetto dal problema non è utilizzato soltanto da IIS ma anche da WinRM ampliando quindi il numero di sistemi che possono essere oggetto di attacco.
WinRM è infatti ampiamente utilizzato in ambito aziendale per controllare server PC, workstation e server modificandone la configurazione a distanza.
Su Windows Server versioni 2004 e 20H2, inoltre, WinRM risulta abilitato per impostazione predefinita.
Con una semplice verifica usando il motore di ricerca Shodan ci si accorge che sono attualmente oltre 2 milioni i sistemi Windows esposti in rete con WinRM abilitato.
/https://www.ilsoftware.it/app/uploads/2024/04/windows-10-invita-passare-account-microsoft-locale.jpg "Windows 10 vuole convincervi a scegliere un account Microsoft")
/https://www.ilsoftware.it/app/uploads/2024/04/mcirosoft-store-piu-veloce-novita.jpg "Microsoft Store, prestazioni migliorate per tutti: ecco come")
/https://www.ilsoftware.it/app/uploads/2024/04/intel-sst-aggiornamento-windows-10-11.jpg "Risolto il problema che per 2 anni ha impedito l'aggiornamento da Windows 10 a Windows 11")
/https://www.ilsoftware.it/app/uploads/2024/04/banner-passaggio-windows-10-11-PC-non-compatibili.jpg "Windows 10: spunta il banner a schermo intero che invita a passare a Windows 11")