Saltar al contenido

Microsoft Windows Server 2008R2, Server 2012, Server 2012R2 y Server 2016 son vulnerables a la explotación «Juicy Potato exploit»

Bug importante a tener en cuenta en cualquier versión windows server anterior a la 2019

Situación
Microsoft Windows Server en su configuración predeterminada tiene una vulnerabilidad crítica, que puede causar una escalada de privilegios si un servidor se ve comprometido. En un contexto de uso de múltiples inquilinos de Plesk (alojamiento compartido), esto permite que un cliente de Plesk cargue scripts especiales en su suscripción para obtener privilegios de administrador para el servidor.

¿Es esta vulnerabilidad en Plesk?
No, esta es una vulnerabilidad en el servidor de Microsoft Windows. Plesk configura las cuentas de IIS de la misma manera que IIS en un servidor limpio sin Plesk instalado.

¿Qué versiones de Microsoft Windows Server están afectadas?
Windows Server 2019 no está afectado por esta vulnerabilidad.

Otras versiones de Windows (Server 2008R2, Server 2012, Server 2012 R2, Server 2016) se ven afectadas.

¿Se solucionará esta vulnerabilidad para las versiones afectadas de Windows Server?
Microsoft no ofrece recomendaciones de refuerzo para las versiones de Windows Server anteriores a 2019 debido a la implementación arquitectónica en los sistemas operativos. La recomendación oficial es «Usar Windows Server 2019 mitigaría este vector de ataque».

¿Cuáles son las recomendaciones de Plesk con respecto a esta vulnerabilidad?
Actualmente estamos buscando una solución precisa al problema. Hasta entonces, como solución temporal, Plesk puede proponer desactivar el soporte DCOM en el servidor de acuerdo con el artículo de Microsoft aquí para las versiones afectadas de Windows Server.
Tenga en cuenta que se requiere reiniciar el servidor para que los cambios surtan efecto. Estos cambios mitigarán la vulnerabilidad y las vulnerabilidades existentes ya no funcionarán.

¿Existe algún riesgo de aplicar la solución propuesta?
DCOM no es utilizado directamente por Plesk y hemos probado los escenarios principales de Plesk con cambios aplicados.

Sin embargo, puede ser utilizado por sitios web alojados, y esta acción puede afectar de alguna manera su funcionalidad. Deshabilitar DCOM también puede afectar los entornos ubicados en el dominio de Windows. COMO DESHABILITAR DCOM

Fuentes: https://support.plesk.com/hc/en-us/articles/360010138760-Microsoft-Windows-Server-2008R2-Server-2012-Server-2012R2-and-Server-2016-are-vulnerable-to-Juicy-Potato-exploit