Bug do IIS com potencial de worm representa uma ameaça aos servidores WinRM

IIS bug with worm potential

Como parte do mês de maio “Atualização de terça-feira” A Microsoft corrigiu um bug perigoso com potencial de worm nos Serviços de Informações da Internet (IIS), que recebeu o identificador CVE-2021-31166.

Semana passada, muitos pesquisadores e empresas de segurança da informação escreveu que esta vulnerabilidade é um dos problemas mais sérios corrigidos este mês (9.8 fora de 10 na escala CVSS v3).

A vulnerabilidade está relacionada à corrupção de informações na memória da pilha do protocolo HTTP, que está incluído em todas as versões recentes do Windows. Esta pilha é usada pelo servidor Windows IIS. Se este servidor estiver ativo, um invasor pode enviar um pacote especialmente preparado e executar código malicioso no nível do kernel do sistema operacional.

Pior, A Microsoft alertou que a vulnerabilidade tem o potencial de um worm, aquilo é, poderia ser usado para criar malware que se espalha de servidor para servidor.

Uma exploração para este problema foi publicado recentemente em domínio público. Felizmente, a vulnerabilidade afeta apenas as versões mais recentes do sistema operacional: Windows 10 2004 e 20H2, bem como Windows Server 2004 e 20H2, que ainda não estão muito difundidos.

O pesquisador de segurança Jim DeVries descobriu agora que a vulnerabilidade também afeta dispositivos que executam Windows 10 e Windows Server executando o Gerenciamento Remoto do Windows (WinRM) serviço, um componente de gerenciamento de hardware do Windows que também explora o HTTP.sys vulnerável.

Eu não vi isso discutido em lugar nenhum, você acha que esta vulnerabilidade pode ser explorada através do WinRM em 5985? O processo do sistema no meu PC Win10 não IIS parece carregar http.says. Finalmente encontrei tempo para responder minha própria pergunta. WinRM *É* vulnerável. Isso realmente expande o número de sistemas vulneráveis, embora ninguém colocasse intencionalmente esse serviço na Internet.Jim DeVries escreveu.

E se os usuários comuns precisarem habilitar o WinRM manualmente, então, em endpoints corporativos do Windows Server, o WinRM é habilitado por padrão, o que os torna vulneráveis ​​a ataques se usarem versões do Windows 2004 ou 20H2.

Não acho que isso seja um grande risco para PCs domésticos, mas se alguém cruzar [uma vulnerabilidade] com um worm e ransomware, tudo pode crescer descontroladamente no ambiente corporativo.o especialista alerta.

DeVries’ descobertas já foram confirmadas pelo analista do CERT/CC, Will Dormann, que comprometeu com sucesso o sistema usando uma exploração DoS publicada anteriormente.

Dormann também descobriu que mais do que 2,000,000 sistemas com o serviço WinRM em execução pode ser encontrado na rede, embora nem todos sejam vulneráveis ​​ao CVE-2021-31166, porque, como acima mencionado, o bug afeta apenas o Windows 10 e versões do Windows Server 2004 e 20H2.

Deixe-me lembrá-lo que eu também escrevi isso A Microsoft desenvolveu um ambiente de laboratório SimuLand para simular ataques cibernéticos.

Por Vladimir Krasnogolovy

Vladimir é um especialista técnico que adora dar conselhos e dicas qualificadas sobre os produtos GridinSoft. Ele está disponível 24 horas por dia, 7 dias por semana para ajudá-lo em qualquer dúvida relacionada à segurança na internet.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *