В рамках майского «вторника обновлений» компания Microsoft устранила опасный баг в Internet Information Services (IIS), который получил идентификатор CVE-2021-31166. Еще на прошлой неделе многие исследователи и ИБ-компании писали, что данная уязвимость – одна из наиболее серьезных проблем, исправленных в этом месяце (9,8 из 10 баллов по шкале CVSS v3).
Уязвимость связана с повреждением информации в памяти стека протокола HTTP, включенного в во все «свежие» версии Windows. Этот стек используется сервером Windows IIS. Если данный сервер активен, злоумышленник может отправить ему специально подготовленный пакет и выполнить вредоносный код на уровне ядра ОС. Хуже того, Microsoft предупреждала, что уязвимость обладает потенциалом червя, то есть может применяться для создания малвари, самостоятельно распространяющейся с сервера на сервер.
Недавно в открытом доступе был опубликован эксплоит для этой проблемы. К счастью, уязвимость затрагивает только наиболее новые версии ОС: Windows 10 2004 и 20H2, а также Windows Server 2004 и 20H2, которые пока распространены не слишком широко.
Как теперь обнаружил ИБ-исследователь Джим ДеВрис, уязвимость также влияет на устройства под управлением Windows 10 и Widows Server, на которых работает служба WinRM (Windows Remote Management), компонент Windows Hardware Management, который тоже использует уязвимый HTTP.sys.
I finally found time to answer my own question. WinRM *IS* vulnerable. This really expands the number of vulnerable systems, although no one would intentionally put that service on the internet.
— Jim DeVries (@JimDinMN) May 19, 2021
И если рядовые пользователи должны включать WinRM вручную, то на корпоративных эндпоинтах Windows Server WinRM включен по умолчанию, что делает их уязвимыми для атак, если они используют Windows версий 2004 или 20H2.
«Не думаю, что это большой риск для домашних ПК, но, если кто-то скрестит [уязвимость] с червем и программами-вымогателями, в корпоративной среде все это может бурно разрастись», — предупреждает эксперт.
Выводы ДеВриса уже подтверждены аналитиком CERT/CC Уиллом Дорманном, который успешно скомпрометировал систему, используя ранее опубликованный DoS-эксплоит. Также Дорманн обнаружил, что в сети можно найти более 2 000 000 систем с запущенной службой WinRM, хотя далеко не все они уязвимы перед CVE-2021-31166, ведь, как было сказано выше, баг затрагивает лишь Windows 10 и Windows Server версий 2004 и 20H2.
