В рамках майского «вторника обновлений» компания Microsoft устранила опасный баг в Internet Information Services (IIS), который получил идентификатор CVE-2021-31166. Еще на прошлой неделе многие исследователи и  ИБ-компании писали, что данная уязвимость – одна из наиболее серьезных проблем, исправленных в этом месяце (9,8 из 10 баллов по шкале CVSS v3).

Уязвимость связана с повреждением информации в памяти стека протокола HTTP, включенного в во все «свежие» версии Windows. Этот стек используется сервером Windows IIS. Если данный сервер активен, злоумышленник может отправить ему специально подготовленный пакет и выполнить вредоносный код на уровне ядра ОС. Хуже того, Microsoft предупреждала, что уязвимость обладает потенциалом червя, то есть может применяться для создания малвари, самостоятельно распространяющейся с сервера на сервер.

Недавно в открытом доступе был опубликован эксплоит для этой проблемы. К счастью, уязвимость затрагивает только наиболее новые версии ОС: Windows 10 2004 и 20H2, а также Windows Server 2004 и 20H2, которые пока распространены не слишком широко.

Как теперь обнаружил ИБ-исследователь Джим ДеВрис, уязвимость также влияет на устройства под управлением Windows 10 и Widows Server, на которых работает служба WinRM (Windows Remote Management), компонент Windows Hardware Management, который тоже использует уязвимый HTTP.sys.

И если рядовые пользователи должны включать WinRM вручную, то на корпоративных эндпоинтах Windows Server WinRM включен по умолчанию, что делает их уязвимыми для атак, если они используют Windows версий 2004 или 20H2.

«Не думаю, что это большой риск для домашних ПК, но, если кто-то скрестит [уязвимость] с червем и программами-вымогателями, в корпоративной среде все это может бурно разрастись», — предупреждает эксперт.

Выводы ДеВриса уже подтверждены аналитиком CERT/CC Уиллом Дорманном, который успешно скомпрометировал систему, используя ранее опубликованный DoS-эксплоит. Также Дорманн обнаружил, что в сети можно найти более 2 000 000 систем с запущенной службой WinRM, хотя далеко не все они уязвимы перед CVE-2021-31166, ведь, как было сказано выше, баг затрагивает лишь Windows 10 и Windows Server версий 2004 и 20H2.

1 комментарий

  1. Аватар

    Dzen_y

    04.06.2021 в 12:22

    2 000 000, это не совсем точно. Это поиск по баннеру с упоминанием Microsoft и HTTPAPI, т.е. показывает много false positive результатов. Нужно фильтровать по HTTP респонсу и дофильтровывать по 5985 порту. Получим 40к результатов https://spyse.com/advanced-search/ip?search_params=%5B%7B%22ip_site_info_headers_name%22%3A%7B%22operator%22%3A%22contains%22,%22value%22%3A%22Server%22%7D,%22ip_site_info_headers_value%22%3A%7B%22operator%22%3A%22contains%22,%22value%22%3A%22Microsoft-HTTPAPI%22%7D%7D,%7B%22ip_port_open_ports%22%3A%7B%22value%22%3A%225985%22,%22operator%22%3A%22eq%22%7D%7D%5D

    Если на spyse искать по баннеру(как у shodan) получим более 4млн резульатов…

Оставить мнение