Windows IIS服务器的HTTP协议栈中的可感染CVE-2021-31166漏洞也影响Windows 10和Server系统上的WinRM。
Microsoft在2021年5月星期二发布的补丁程序安全更新解决了Microsoft中的55个漏洞,其中包括一个跟踪为CVE-2021-31166的关键HTTP协议栈远程执行代码漏洞 。未经身份验证的攻击者可以通过使用HTTP协议栈(http.sys)将特制数据包发送到目标服务器来处理该数据包,从而利用此漏洞。
Windows内置IIS服务器使用此堆栈,这意味着如果启用服务器,则可以很容易地利用它。该漏洞很容易被感染,并且会影响Windows 10,Windows Server 2004和Windows Server 20H2的不同版本。
安全研究人员Axel Souchet于周末发布了针对影响Windows IIS的可感染漏洞的概念验证漏洞利用代码。
PoC漏洞利用代码可以使运行IIS服务器的未打补丁的Windows系统崩溃,它不实现蠕虫功能。无论如何,攻击者可能会开始在野外触发漏洞,PoC代码可能会得到改进以被积极利用。
现在,安全研究员Jim DeVries报告说 ,此问题还影响了运行Windows远程管理 (WinRM)服务的Windows 10和服务器设备。Windows硬件管理功能集的一个组件,它也利用了易受攻击的HTTP.sys。
Windows远程管理(WinRM)是WS-Management Protocol的Microsoft实现,WS-Management Protocol是基于标准的简单对象访问协议(SOAP)的,防火墙友好的协议,允许来自不同供应商的硬件和操作系统进行互操作。
DeVries解释说,默认情况下,在运行2004或20H2版本的Windows服务器上启用WinRM服务,因此,它只会对公司环境构成严重风险。
我终于有时间回答我自己的问题。WinRM * IS *容易受到攻击。这确实增加了易受攻击的系统的数量,尽管没有人会故意将该服务放在Internet上。-吉姆·德弗里斯(@JimDinMN)
2021年5月19日
在撰写本文时,查询Shodan搜索引擎,我们发现超过160万个运行WinRM服务的Windows系统已在线暴露,运行2004和20H2版本的Windows系统容易受到CVE-2021-31166的利用。
*编译:Domino
*来自:securityaffairs