Servidores Windows son vulnerables a los ataques DoS de agotamiento de recursos de IIS

Windows IIS

Microsoft publicó un aviso de seguridad el cual revela que los servidores Windows Server y Windows 10 que ejecutan Internet Information Services (IIS) son vulnerables a los ataques de denegación de servicio (DOS).

Para ser más exactos, todos los servidores IIS que ejecutan Windows Server 2016, Windows Server versión 1709, Windows Server versión 1803, así como Windows 10 (versiones 1607, 1703, 1709 y 1803) se ven afectados por este problema de DoS.

La vulnerabilidad descrita en el aviso de seguridad ADV190005 de Microsoft hace posible que un posible atacante remoto active una condición DoS aprovechando un error de agotamiento de recursos de IIS que "podría ocasionar que el uso de la CPU del sistema aumente al 100% hasta que se eliminen las conexiones maliciosas por IIS ". Los actores malintencionados pueden lanzar ataques DoS contra servidores vulnerables de Windows enviando solicitudes HTTP / 2 creadas con fines malintencionados.

Microsoft indica en el aviso que no se conocen soluciones o soluciones para la vulnerabilidad notificada por Gal Goldshtein de F5 Networks, y recomienda a todos los usuarios que instalen las actualizaciones de seguridad, para los sistemas que se enumeran en la tabla a continuación.

Producto                                                                              Aviso

Windows 10 Version 1607 for 32-bit Systems                      4487006

Windows 10 Version 1607 for x64-based Systems              4487006

Windows 10 Version 1703 for 32-bit Systems                      4487011

Windows 10 Version 1703 for x64-based Systems              4487011

Windows 10 Version 1709 for 32-bit Systems                      4487021

Windows 10 Version 1709 for 64-based Systems                4487021 

Windows 10 Version 1709 for ARM64-based Systems        4487021 

Windows 10 Version 1803 for 32-bit Systems                      4487029 

Windows 10 Version 1803 for ARM64-based Systems        4487029 

Windows 10 Version 1803 for x64-based Systems              4487029

Windows Server 2016                                                          4487006

Windows Server 2016 (Server Core installation)                 4487006 

Windows Server, version 1709 (Server Core Installation)   4487021

Windows Server, version 1803 (Server Core Installation)   4487029

 

Según lo detallado por Microsoft en su aviso de seguridad ADV190005:

The HTTP/2 specification allows clients to specify any number of SETTINGS frames 
with any number of SETTINGS parameters. In some situations, excessive settings can 
cause services to become unstable and may result in a temporary CPU usage spike until 
the connection timeout is reached and the connection is closed.

Como medida de mitigación, el equipo de seguridad de Redmond "agregó la capacidad de definir umbrales en la cantidad de CONFIGURACIONES HTTP / 2 incluidas en una solicitud", los niveles de umbrales que deben configurar los administradores de IIS después de evaluar el entorno de sus sistemas y HTTP / 2 Requisitos de protocolo, ya que no serán preconfigurados por Microsoft.


Para establecer estos límites, Microsoft agregó las siguientes entradas de registro en las versiones vulnerables de Windows 10:

Path: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters
Name: Http2MaxSettingsPerFrame
Type: DWORD
Data: Supported min value 7 and max 2796202. Out of range values trimmed to corresponding min/max end value.

Path: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters
Name: Http2MaxSettingsPerMinute
Type: DWORD
Data: Supported min value 7. Smaller value trimmed to the min value. 

Una vez que se establecen los umbrales en un sistema Windows que ejecuta IIS, las conexiones se eliminarán de inmediato:

Si un solo marco de configuración contiene más parámetros de configuración que el valor "Http2MaxSettingsPerFrame"
Si el número de parámetros de configuración contenidos en múltiples marcos de configuración recibidos en un minuto cruza el valor "Http2MaxSettingsPerMinute"
También es importante tener en cuenta que, según Microsoft, un reinicio del servicio o un reinicio del servidor puede ser necesario para que se lean los valores del Registro recién agregados.

Los servidores de Windows que se ejecutan han sido explotados previamente por atacantes con la ayuda de un día cero en IIS 6.0 que afecta al servicio WebDAV incluido de forma predeterminada en todas las distribuciones de IIS, entre julio de 2016 y marzo de 2017.

Registrate en el foro, síguenos en FacebookTwitterunete a nuestro chat en Discord y no olvides compartirnos en las redes sociales. También puede hacernos una donación o comprar nuestros servicios.

Acerca del autor

Fredy Yesid Avila - Ingeniero de Sistemas, CEH - ECSA.

@fredyavila