Sconti Amazon
lunedì 24 maggio 2021 di 1936 Letture
Windows 10 e Windows Server aggredibili a distanza: in quali circostanze può accadere

Windows 10 e Windows Server aggredibili a distanza: in quali circostanze può accadere

Il problema interessa soltanto le versioni del 2020 di Windows 10 e Windows Server. È però presente non soltanto in IIS ma anche nel componente WinRM, abilitato per impostazione predefinita sui sistemi server.

Nei giorni scorsi, in occasione del "patch day" di maggio 2021, Microsoft ha confermato l'esistenza del problema di sicurezza CVE-2021-31166 in Windows 10 e Windows Server definendolo wormable.

Eventuali aggressori possono infatti sfruttare da remoto un problema insito in IIS, il web server Microsoft, e utilizzarlo per eseguire codice arbitrario sulle macchine vulnerabili.

Il problema è stato definito di impatto complessivamente contenuto perché le versioni di Windows Server coinvolte sono solo quelle basate sul kernel condiviso con Windows 10 e nello specifico solo le release 2004 e 20H2 (quindi soltanto le due versioni di Windows 10 e Windows Server rilasciate nel 2020).

Su Windows 10, inoltre, di solito non è installato il web server IIS e soprattutto non è generalmente esposto sulla rete Internet.

In queste ore è però emerso che la problematica non riguarda soltanto IIS ma anche WinRM (Windows Remote Management) ovvero il sistema che permette di amministrare i sistemi Windows a distanza. Abbiamo già visto com'è possibile amministrare Windows con WinRM e PowerShell.

Anche i sistemi Windows Server e Windows 10 (entrambi relativamente alle versioni 2004 e 20H2) che usano WinRM e che sono esposti sulla rete Internet possono essere quindi oggetto di aggressione in mancanza della patch di sicurezza rilasciata da Microsoft.

Il ricercatore Jim DeVries si è accorto che il file di sistema HTTP.sys affetto dal problema non è utilizzato soltanto da IIS ma anche da WinRM ampliando quindi il numero di sistemi che possono essere oggetto di attacco.

WinRM è infatti ampiamente utilizzato in ambito aziendale per controllare server PC, workstation e server modificandone la configurazione a distanza.

Su Windows Server versioni 2004 e 20H2, inoltre, WinRM risulta abilitato per impostazione predefinita.

Con una semplice verifica usando il motore di ricerca Shodan ci si accorge che sono attualmente oltre 2 milioni i sistemi Windows esposti in rete con WinRM abilitato.

Buoni regalo Amazon
Windows 10 e Windows Server aggredibili a distanza: in quali circostanze può accadere - IlSoftware.it