Detectar Vulnerabilidad de RCE Gusano (CVE-2021-31166) en Windows HTTP.sys

[post-views]
mayo 24, 2021 · 3 min de lectura
Detectar Vulnerabilidad de RCE Gusano (CVE-2021-31166) en Windows HTTP.sys

Microsoft ha solucionado recientemente un error altamente crítico (CVE-2021-31166), que permite la ejecución remota de código con derechos de kernel en máquinas que ejecutan Windows 10 y Windows Server. El proveedor advierte que esta falla es auto-replicable y podría propagarse automáticamente a través de múltiples servidores dentro de la red organizacional para causar el máximo daño. El exploit de Prueba de Concepto (PoC) ya ha sido liberado, impulsando a los delincuentes a utilizar la vulnerabilidad para ataques reales.

Descripción de CVE-2021-31166

El problema reside en el Protocolo de Pila HTTP (HTTP.sys), una utilidad importante que ayuda a los servidores web de Windows Internet Information Services (IIS) a procesar solicitudes HTTP. En caso de ser explotada, la falla permite a actores no autenticados enviar paquetes especialmente diseñados a un servidor vulnerable y desencadenar la ejecución arbitraria de código directamente en el kernel del sistema operativo Windows. Además, el error podría aprovecharse para lanzar un ataque de denegación de servicio (DoS) remoto no autenticado, causando la Pantalla Azul de la Muerte en los dispositivos afectados. Para empeorar las cosas, CVE-2021-31166 es un error auto-replicable que permite crear gusanos de red para propagarse a través de otros servicios inicialmente no expuestos a la intrusión.

El 15 de mayo de 2021, los expertos en seguridad Alex Souchet liberaron una prueba de concepto exploit (PoC) para esta falla. Aunque una PoC pública carece de las funciones de replicación, muestra una forma fácil de bloquear la instalación de Windows afectada en caso de ejecutar un servidor IIS. Actualmente, no hay evidencia de que el problema HTTP.sys haya sido explotado en la práctica. Sin embargo, la presencia de la PoC definitivamente motivaría a los adversarios a aprovechar este agujero de seguridad contra servidores Windows IIS expuestos.

El único factor que de alguna manera limita posibles consecuencias devastadoras es que el error existe solo en versiones recientes de Windows, incluidas Windows 10 2004/20H2 y Windows Server 2004/20H2, que fueron lanzadas durante el último año.

Inicialmente, se consideró que la falla solo afecta a las máquinas que ejecutan servidores IIS, sin embargo, los investigadores Jim DeVries encontraron out que los servicios WinRM también se ven afectados. Como WinRM está habilitado por defecto en todos los servidores Windows que ejecutan las versiones 2004/20H2, múltiples redes corporativas están actualmente expuestas a la intrusión.

Detección y Mitigación de CVE-2021-31166

The Microsoft ha abordado el bug durante su lanzamiento de Patch Tuesday para mayo de 2021. El proveedor insta a todos los usuarios que ejecutan instalaciones vulnerables a actualizar a una versión segura lo antes posible. during its Patch Tuesday release for May 2021. The vendor urges all users running vulnerable installations to upgrade to a secure version as soon as possible.

Para proteger la infraestructura de su empresa de posibles ataques potenciados por CVE-2021-31166, puede descargar una regla Sigma comunitaria ya liberada por el equipo de SOC Prime en Threat Detection Marketplace:

https://tdm.socprime.com/tdm/info/TenAI7BkMasL/jHwCkHkBcFeKcPZncFIn/?p=1#sigma

La regla tiene traducciones para las siguientes plataformas: 

SIEM: Azure Sentinel, QRadar, Graylog, ELK Stack, Humio, FireEye

MITRE ATT&CK: 

Tácticas: Impacto

Técnicas: Denegación de servicio de red (T1498)

Suscríbete a Threat Detection Marketplace, una plataforma líder mundial de Detección como Código que habilita el flujo de trabajo CI/CD completo de procedimientos de detección. Nuestra biblioteca de contenido SOC agrega más de 100K algoritmos de detección y consultas de caza de amenazas mapeadas directamente a los marcos CVE y MITRE ATT&CK®. Las detecciones se basan en el lenguaje Sigma, asegurando que todas las reglas sean fácilmente convertibles a 23 tecnologías líderes del mercado de SIEM, EDR y NTDR para coincidir con la pila XDR de la organización. ¿Deseas participar en actividades de caza de amenazas y crear tus propias reglas Sigma? ¡Únete a nuestro Programa de Recompensas de Amenazas!

Ir a la plataforma Únete a Threat Bounty

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Detección de CVE-2025-8088: El Día Cero de WinRAR es Activamente Explotado en la Naturaleza para Instalar Malware RomCom 5 min de lectura Últimas Amenazas Detección de CVE-2025-8088: El Día Cero de WinRAR es Activamente Explotado en la Naturaleza para Instalar Malware RomCom by Daryna Olyniychuk CVE-2025-6558: Vulnerabilidad Zero-Day en Google Chrome Bajo Explotación Activa 4 min de lectura Últimas Amenazas CVE-2025-6558: Vulnerabilidad Zero-Day en Google Chrome Bajo Explotación Activa by Daryna Olyniychuk CVE-2025-25257: Vulnerabilidad crítica de inyección SQL en FortiWeb permite ejecución remota de código sin autenticación 4 min de lectura Últimas Amenazas CVE-2025-25257: Vulnerabilidad crítica de inyección SQL en FortiWeb permite ejecución remota de código sin autenticación by Veronika Telychko
Todas las noticias