24/05/21
Червеобразная уязвимость в HTTP Protocol Stack в сервере Windows IIS также может использоваться злоумышленниками для атак на необновленные системы под управлением Windows 10 и Server с запущенным сервисом WinRM (Windows Remote Management).
Речь идет об уязвимости CVE-2021-31166 , исправленной Microsoft 11 мая 2021 года в рамках ежемесячного «вторника исправлений». Microsoft рекомендует приоритизировать исправление данной уязвимости, поскольку она «в большинстве случаев» позволяет удаленно выполнить произвольный код на уязвимой системе.
К счастью, проблема затрагивает только версии Windows 10 и Windows Server 2004 и 20H2. Тем не менее, на прошлой неделе исследователь безопасности Аксель Суше (Axel Souchet) опубликовал для нее PoC-эксплоит.
Кроме того, как удалось выяснить исследователю Джиму ДеВрису (Jim DeVries), есть еще одна причина для скорейшей установки исправления для CVE-2021-31166 – проблема также затрагивает устройства под управлением Windows 10 и Server с включенным сервисом WinRM, компонентом функций Windows Hardware Management, который также использует уязвимый HTTP.sys.
Хотя домашние пользователи Windows 10 должны включать WinRM вручную, на корпоративных конечных точках под управлением Windows Server сервис включен по умолчанию, поэтому они более уязвимы к атакам.
«Я не думаю, что домашние компьютеры находятся под большой угрозой, но, если кто-то свяжет уязвимость с червем или вымогательским ПО, оно может разрастись в корпоративной среде», – сообщил ДеВрис.
