Срочно. Уязвимость Windows HTTP дает возможность взлома серверов WinRM
Под угрозой находится до двух миллионов систем
Уязвимость в стеке протоколов HTTP на сервере Windows IIS может быть использована для атаки на незащищённые системы Windows 10 и Server, публично открывающие доступ к службе WinRM (удалённое управление Windows).Уязвимость Windows HTTP даёт возможность взлома серверов WinRM. Фото: Pixabay
Корпорация Майкрософт уже исправила критическую ошибку, отмеченную как CVE-2021-31166, во вторник майских исправлений.
К счастью, хотя уязвимость может быть использована в атаках с удалённым выполнением кода (RCE), она затрагивает ТОЛЬКО версии 2004 и 20H2 Windows 10 и Windows Server, сообщает Bleeping Сomputer.
Microsoft рекомендовала установить в первую очередь исправления для всех уязвимых серверов, поскольку эта уязвимость может позволить злоумышленникам, не прошедшим проверку подлинности, удалённо выполнять произвольный код «в большинстве ситуаций» на уязвимых компьютерах.
Вдобавок к этому на выходных исследователь безопасности Аксель Суше опубликовал экспериментальный код эксплойта, который можно использовать для сбоя незащищённых систем с помощью вредоносных пакетов, запускающих «синие экраны смерти».
Ошибка была обнаружена в стеке протоколов HTTP (HTTP.sys), используемом веб-сервером Windows IIS для обработки HTTP-запросов.
Однако, как обнаружил исследователь безопасности Джим ДеВрис, это также влияет на устройства Windows 10 и Server, на которых работает служба WinRM (сокращённо от Windows Remote Management), компонент набора функций Windows Hardware Management, который также использует уязвимый HTTP.sys.
В то время как домашние пользователи должны вручную включать службу WinRM в своих системах Windows 10, на корпоративных конечных точках Windows Server WinRM включён по умолчанию, что делает их уязвимыми для атак, если они используют версии 2004 или 20H2.
«[CVE-2021-31166] обычно используется в корпоративных средах. Он включён по умолчанию на серверах», - сказал ДеВриз BleepingComputer.
«Я не думаю, что это большой риск для домашних ПК, но, если кто-то свяжет это с червём и программами-вымогателями, они могут разрастись в корпоративной среде».
Выводы ДеВриса также были подтверждены аналитиком уязвимостей CERT / CC Уиллом Дорманном, который успешно взломал систему Windows, открыв доступ к службе WinRM, используя эксплойт DoS Суше.
Дорманн также обнаружил, что более 2 миллионов систем Windows, доступных через Интернет, раскрывают уязвимую службу WinRM.
Комментариев пока не было