WindowsIISServer的HTTP协议栈中存在一个可利用的漏洞,该漏洞也可用于攻击未打补丁的Windows10和公开暴露的WinRM(Windows远程管理)服务服务器系统。微软已在5月补丁中修补了编号为CVE-2021-31166的严重漏洞。幸运的是,该漏洞仅影响Windows10和WindowsServer的2004和20H2版本,尽管它可能被远程代码执行(RCE)攻击中的威胁所滥用。Microsoft建议优先修补所有受影响的服务器,因为该漏洞可能允许未经身份验证的攻击者在易受攻击的计算机上远程执行任意代码。此外,在周末,安全研究员AxelSouchet发布了概念验证漏洞利用代码,可用于触发蓝屏死机,用恶意制作的数据包使未打补丁的系统崩溃。企业更容易受到攻击该漏洞是在WindowsIISWeb服务器用作协议侦听器以处理HTTP请求的HTTP协议栈(HTTP.sys)中发现的。但是,正如安全研究员JimDeVries发现的那样,它还会影响运行WinRM服务(Windows远程管理的缩写)的Windows10和服务器设备,WinRM服务是Windows硬件管理功能集的一个组件,它也利用易受攻击的HTTP.sys)。家庭用户必须在其Windows10系统上手动启用WinRM服务,而企业WindowsServer端点默认启用WinRM,这使得它们在运行2004或20H2版本时容易受到攻击。“[CVE-2021-31166]通常用于企业环境。它在服务器上默认启用,”DeVries告诉BleepingComputer。“我不认为这对家用PC来说是一个巨大的风险,但如果有人将其与蠕虫和勒索软件结合起来,它就可以在企业环境中疯狂运行。”WinRM*IS*易受攻击。这确实增加了易受攻击系统的数量,尽管没有人会故意将该服务放到互联网上。—JimDeVries(@JimDinMN)2021年5月19日超过200万台WinRM服务器暴露于互联网CERT/CC漏洞分析师WillDormann也证实了DeVries的发现,利用Souchet的DoS漏洞成功攻陷Windows系统并暴露WinRM服务裸露。Dormann还发现超过200万个易受攻击的WinRM服务器暴露在互联网上。幸运的是,这些漏洞只影响Windows10和WindowsServer(2004和20H2版本),并且只有部分漏洞存在漏洞。WindowsSystemsOnlineDisclosureWinRM(WillDormann)此漏洞的发布可能允许攻击者更快地创建他们自己的漏洞利用程序,并且还可能允许远程代码执行。然而,考虑到受影响的Windows10版本的大多数家庭用户可能在上周更新了他们的系统,影响也应该是有限的。同样,许多公司可能不会容易受到针对该漏洞的攻击,因为他们通常不会在发布最新的WindowsServer版本后立即部署。本文翻译自:https://www.bleepingcomputer.com/news/security/wormable-windows-http-vulnerability-also-affects-winrm-servers/如有转载请注明出处。
