Срочно. Уязвимость Windows HTTP дает возможность взлома серверов WinRM

Уязвимость Windows HTTP даёт возможность взлома серверов WinRM. Фото: Pixabay

Корпорация Майкрософт уже исправила критическую ошибку, отмеченную как CVE-2021-31166, во вторник майских исправлений.

К счастью, хотя уязвимость может быть использована в атаках с удалённым выполнением кода (RCE), она затрагивает ТОЛЬКО версии 2004 и 20H2 Windows 10 и Windows Server, сообщает  Bleeping Сomputer.

Microsoft рекомендовала установить в первую очередь исправления для всех уязвимых серверов, поскольку эта уязвимость может позволить злоумышленникам, не прошедшим проверку подлинности, удалённо выполнять произвольный код «в большинстве ситуаций» на уязвимых компьютерах.

Вдобавок к этому на выходных исследователь безопасности Аксель Суше опубликовал экспериментальный код эксплойта, который можно использовать для сбоя незащищённых систем с помощью вредоносных пакетов, запускающих «синие экраны смерти».

Ошибка была обнаружена в стеке протоколов HTTP (HTTP.sys), используемом веб-сервером Windows IIS для обработки HTTP-запросов.

Однако, как обнаружил исследователь безопасности Джим ДеВрис, это также влияет на устройства Windows 10 и Server, на которых работает служба WinRM (сокращённо от Windows Remote Management), компонент набора функций Windows Hardware Management, который также использует уязвимый HTTP.sys.

В то время как домашние пользователи должны вручную включать службу WinRM в своих системах Windows 10, на корпоративных конечных точках Windows Server WinRM включён по умолчанию, что делает их уязвимыми для атак, если они используют версии 2004 или 20H2.

«[CVE-2021-31166] обычно используется в корпоративных средах. Он включён по умолчанию на серверах», - сказал ДеВриз BleepingComputer.

«Я не думаю, что это большой риск для домашних ПК, но, если кто-то свяжет это с червём и программами-вымогателями, они могут разрастись в корпоративной среде».

Выводы ДеВриса также были подтверждены аналитиком уязвимостей CERT / CC Уиллом Дорманном, который успешно взломал систему Windows, открыв доступ к службе WinRM, используя эксплойт DoS Суше.

Дорманн также обнаружил, что  более 2 миллионов систем Windows,  доступных через Интернет, раскрывают уязвимую службу WinRM.