Опасная червеподобная уязвимость Windows затрагивает и WinRM-серверы

Опасная червеподобная уязвимость Windows затрагивает и WinRM-серверы

Опасная червеподобная уязвимость Windows затрагивает и WinRM-серверы

Поступили новые сведения об уязвимости CVE-2021-31166, обнаруженной в системном драйвере Windows — HTTP.sys. Напомним, что с помощью бреши не прошедший аутентификацию злоумышленник может отправить специально созданные пакеты, эксплуатирующие дыру.

По словам исследователя Джима Девриза, опасная уязвимость затрагивает не только Windows 10, Windows Server 2004 и Windows Server 20H2, но и операционные системы, на которых запущена служба Windows Remote Management (WinRM). Проблема в том, что этот компонент также задействует для своей работы уязвимый драйвер HTTP.sys.

WinRM представляет собой имплементацию протокола WS-Management от Microsoft. Этот протокол позволяет аппаратному обеспечению и операционным системам от разных производителей взаимодействовать в соответствии друг с другом.

Причём стоит учитывать, что служба WinRM активирована по умолчанию на Windows Server версии 2004 (20H2). Таким образом, как пояснил Девриз, брешь угрожает корпоративным средам.

Специальный поисковик Shodan, заточенный под детектирование уязвимых устройств, смог найти более 1,6 млн систем Windows, в которых запущена служба WinRM. Именно эти ОС могут пострадать от эксплуатации CVE-2021-31166, поэтому их необходимо срочно обновить.

В мае Microsoft выпустила набор патчей, устраняющих 55 уязвимостей, среди которых была и CVE-2021-31166. Именно поэтому не стоит тянуть с установкой майских апдейтов.

На прошлой неделе специалист в области кибербезопасности Аксель Суше выложил на GitHub код демонстрационного эксплойта для CVE-2021-31166.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Security Vision 5: новые функции автоматизации и расширенная аналитика

Вышла новая версия Security Vision 5. Обновление затронуло сразу несколько направлений: автоматизацию рабочих процессов, настройку интеграций, аналитику и интерфейс. Изменения упрощают работу специалистов и позволяют быстрее настраивать нужные сценарии.

Автоматизация процессов

Теперь можно запускать вычисляемый рабочий процесс прямо из карточки объекта или графа.

При этом нужный сценарий выбирается автоматически — в зависимости от входных параметров. В графе допускается выбор рабочих процессов из разных источников: свойств объекта или справочника, переменных и фильтров. Это помогает сократить количество шаблонов и быстрее настраивать сценарии.

Библиотека параметров

Добавлена единая библиотека параметров, доступная во всех рабочих процессах. Поддерживается динамическое переопределение входных данных из разных источников, что уменьшает количество дублей и ошибок при передаче информации между блоками.

 

Контроль массовых запусков

В системных событиях и оповещениях появились настройки, которые позволяют ограничить лавинообразное создание процессов при массовых операциях (например, при удалении большого количества объектов). Теперь можно запускать один процесс сразу для набора объектов.

Интеграции и безопасность

В PowerShell-коннекторе добавлен режим JEA: выполнение только разрешённых команд без прав локального администратора. В EventLog можно подставлять параметры в имя журнала. В HTTP-коннекторе появился новый тип данных — Content-Type: text/csv для работы с системами, использующими CSV.

Аналитика и отчёты

Виджеты «Последовательность», «Спидометр» и «Индикатор», а также отчёты теперь могут брать значения из переменной «Результат блока». Это удобно для последовательных расчётов и пошаговой обработки данных.

Интерфейс

Для табличных блоков в карточках объектов появилась настройка ширины «по содержимому» — таблицы стали компактнее. В выпадающих списках для справочников теперь работает поиск без учёта регистра. Интерфейс обработчика событий сделали более наглядным при большом числе правил группировки.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru