Опасная червеподобная уязвимость Windows затрагивает и WinRM-серверы

Опасная червеподобная уязвимость Windows затрагивает и WinRM-серверы

Опасная червеподобная уязвимость Windows затрагивает и WinRM-серверы

Поступили новые сведения об уязвимости CVE-2021-31166, обнаруженной в системном драйвере Windows — HTTP.sys. Напомним, что с помощью бреши не прошедший аутентификацию злоумышленник может отправить специально созданные пакеты, эксплуатирующие дыру.

По словам исследователя Джима Девриза, опасная уязвимость затрагивает не только Windows 10, Windows Server 2004 и Windows Server 20H2, но и операционные системы, на которых запущена служба Windows Remote Management (WinRM). Проблема в том, что этот компонент также задействует для своей работы уязвимый драйвер HTTP.sys.

WinRM представляет собой имплементацию протокола WS-Management от Microsoft. Этот протокол позволяет аппаратному обеспечению и операционным системам от разных производителей взаимодействовать в соответствии друг с другом.

Причём стоит учитывать, что служба WinRM активирована по умолчанию на Windows Server версии 2004 (20H2). Таким образом, как пояснил Девриз, брешь угрожает корпоративным средам.

Специальный поисковик Shodan, заточенный под детектирование уязвимых устройств, смог найти более 1,6 млн систем Windows, в которых запущена служба WinRM. Именно эти ОС могут пострадать от эксплуатации CVE-2021-31166, поэтому их необходимо срочно обновить.

В мае Microsoft выпустила набор патчей, устраняющих 55 уязвимостей, среди которых была и CVE-2021-31166. Именно поэтому не стоит тянуть с установкой майских апдейтов.

На прошлой неделе специалист в области кибербезопасности Аксель Суше выложил на GitHub код демонстрационного эксплойта для CVE-2021-31166.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

РТ Х: в России представили новый облачный сервис для отражения кибератак

Компания Positive Technologies представила новый облачный сервис под названием РТ Х — платформу для мониторинга безопасности и реагирования на кибератаки. РТ Х предназначен для организаций, которым нужно быстро усилить защиту без развёртывания собственного SOC и покупки новых продуктов для ИБ.

РТ Х работает круглосуточно и сочетает автоматический анализ с участием специалистов компании. По сути, это комплексный сервис, который помогает обнаруживать и предотвращать кибератаки в режиме реального времени.

В Positive Technologies отмечают, что создание собственной службы кибербезопасности обычно требует больших затрат и времени. Новая платформа, по словам управляющего директора компании Алексея Новикова, должна упростить этот процесс и дать компаниям возможность оперативно снизить риски.

Особенность РТ Х в том, что его эффективность можно проверить на практике — в ходе кибериспытаний на платформе Standoff Bug Bounty. Если независимым исследователям удастся успешно провести атаку, Positive Technologies обязуется выплатить вознаграждение. Перед испытаниями клиент получает рекомендации по базовым мерам защиты — так называемому «киберминимуму».

Решение может быть полезно как компаниям, недавно пережившим кибератаку, так и тем, кто только выстраивает систему информационной безопасности. Для крупных организаций с уже работающими SOC РТ Х может служить дополнительным инструментом проверки надёжности защиты.

Платформа использует технологии машинного обучения, систему поведенческого анализа сетевого трафика PT NAD, песочницу PT Sandbox, решения для управления уязвимостями MaxPatrol VM, мониторинга событий и реагирования на инциденты MaxPatrol SIEM, а также агент MaxPatrol EDR для защиты конечных устройств.

РТ Х доступна в двух вариантах: Base и Pro. Первая рассчитана на отражение типовых атак и ошибок конфигураций, вторая — на противодействие более сложным угрозам, включая действия опытных киберпреступников и хактивистов.

По данным исследования консалтинговой компании «Б1», российский рынок информационной безопасности в 2024 году достиг примерно 300 млрд рублей, увеличившись на 56% за два года.

Россия при этом остаётся одной из главных целей для кибератак: с середины 2024 года по осень 2025-го на неё пришлось до 16% всех успешных атак в мире. Эксперты ожидают, что к концу года число инцидентов вырастет ещё на 20–45%.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru