Ya no es necesario, a estas alturas, mencionar la importancia que tiene el protocolo HTTP en nuestro día a día. El volumen de tráfico de Internet gestionado mediante dicho protocolo es, sencillamente, descomunal, y por lo tanto su seguridad es un elemento clave para evitar un problema de seguridad que podría tener un gran impacto a escala global. Es por eso que sus implementaciones son sometidas a múltiples análisis de manera regular, con el fin de detectar cualquier posible problema de seguridad, antes de que sean los ciberdelincuentes los que den con dichas potenciales amenazas.
Tal es el caso, como hemos podido saber, con la vulnerabilidad CVE-2022-21907, que afecta a la pila de red de HTTP de Windows. Esto es lo que podemos leer en la página publicada por Microsoft para informar de esta vulnerabilidad y, al tiempo, ofrecer las medidas necesarias para mitigar el riesgo:
MS Recomienda
«El componente vulnerable está vinculado a la pila de red y el conjunto de posibles atacantes se extiende más allá de las otras opciones enumeradas, hasta e incluyendo todo Internet. Una vulnerabilidad de este tipo suele denominarse «explotable de forma remota» y puede considerarse como un ataque explotable a nivel de protocolo a uno o más saltos de red (por ejemplo, a través de uno o más routers).»
Para explotar esta vulnerabilidad, algo de lo que Microsoft no tiene constancia de que haya ocurrido, es necesario enviar un paquete de datos especialmente confeccionado. Con el mismo, aún sin habernos autenticado en el servidor web, podremos ejecutar código arbitrario en el sistema atacado. Y todo esto con el agravante de que, según la clasificación que ha realizado Microsoft, la explotación del mismo no resulta particularmente compleja, por lo que una vez que se difunda su origen, podría ser rápidamente explotado.
La vulnerabilidad afecta tanto a las versiones de Windows de escritorio como a Windows Server, con la excepción de Windows Server 2019 y Windows 10 versión 1809, que no son vulnerables por defecto, y solo se verán comprometidos si se ha habilitado el soporte de tráilers HTTP a través del valor de registro EnableTrailerSupport. En ambos sistemas, para eliminar el riesgo, basta con navegar hasta HKEY_LOCAL_MACHINE\NSystem\CurrentControlSet\NServices\HTTP\Parameters y eliminar, si estuviera presenta ahí, el valor de registro DWORD «EnableTrailerSupport».
Para el resto de versiones de Windows, tanto de escritorio como Server, Microsoft ya ha publicado parches, fuera del circuito de actualizaciones, que podrás encontrar en la web dedicada a la vulnerabilidad y que corregirán el problema de la pila de red que, en su estado original, permite la explotación para ejecutar código arbitrario. Así pues, deberías ponerte manos a la obra y aplicando este parche de seguridad de inmediato.
Fuente obtenida de: https://www.muyseguridad.net/2022/01/17/vulnerabilidad-en-http-windows/