Опасная червеподобная уязвимость Windows затрагивает и WinRM-серверы

...

Поступили новые сведения об уязвимости CVE-2021-31166, обнаруженной в системном драйвере Windows — HTTP.sys. Напомним, что с помощью бреши не прошедший аутентификацию злоумышленник может отправить специально созданные пакеты, эксплуатирующие дыру.

По словам исследователя Джима Девриза, опасная уязвимость затрагивает не только Windows 10, Windows Server 2004 и Windows Server 20H2, но и операционные системы, на которых запущена служба Windows Remote Management (WinRM). Проблема в том, что этот компонент также задействует для своей работы уязвимый драйвер HTTP.sys.

WinRM представляет собой имплементацию протокола WS-Management от Microsoft. Этот протокол позволяет аппаратному обеспечению и операционным системам от разных производителей взаимодействовать в соответствии друг с другом.

Причём стоит учитывать, что служба WinRM активирована по умолчанию на Windows Server версии 2004 (20H2). Таким образом, как пояснил Девриз, брешь угрожает корпоративным средам.

Специальный поисковик Shodan, заточенный под детектирование уязвимых устройств, смог найти более 1,6 млн систем Windows, в которых запущена служба WinRM. Именно эти ОС могут пострадать от эксплуатации CVE-2021-31166, поэтому их необходимо срочно обновить.

В мае Microsoft выпустила набор патчей, устраняющих 55 уязвимостей, среди которых была и CVE-2021-31166. Именно поэтому не стоит тянуть с установкой майских апдейтов.

На прошлой неделе специалист в области кибербезопасности Аксель Суше выложил на GitHub код демонстрационного эксплойта для CVE-2021-31166.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Екатерина Быстрова 30 Июля 2021 - 20:20

Руткиты Целевые атаки Таргетированные атаки Корпорации Лаборатория Касперского

Kaspersky фиксирует рост числа целевых атак во втором квартале 2021 года

Специалисты «Лаборатории Касперского» сообщили об увеличении числа целевых атак (APT), в которых используются серверы Microsoft Exchange. Такая тенденция, по словам исследователей, наблюдалась во втором квартале 2021 года.

Эксплойты для дыр в Microsoft Exchange использует неизвестная киберпреступная группировка, участники которой говорят, скорее всего, на китайском языке. «Лаборатория Касперского» называет эту шпионскую операцию GhostEmperor.

Злоумышленники выбрали себе в качестве целей государственные учреждения, телекоммуникационные компании и другие крупные организации, находящиеся в Юго-Восточной Азии.

В арсенале группы есть множество инструментов для сложных таргетированных кибератак. Эксперты «Лаборатории Касперского» считают, что группировка действует как минимум год — с июля 2020 года.

GhostEmperor отличается тем, что злоумышленники используют новый руткит, запускающийся и работающий с высокими правами в системе. Как отметили специалисты, руткит обходит проверку подписи драйверов Windows Driver Signature Enforcement с помощью схемы загрузки с софтом Cheat Engine.

Как можно понять из названия, Cheat Engine — программа с открытым исходным кодом, анализирующая игры и создающая чит-коды.