نتایج بررسی محققان نشان میدهد که آسیبپذیری CVE-۲۰۲۱-۳۱۱۶۶ سرویس WinRM در نسخ ۲۰۰۴ و ۲۰H۲، سیستمهایعامل Windows ۱۰ و Windows Server را نیز متأثر میکند. پیشتر تصور میشد دامنه این آسیبپذیری فقط به سرویس IIS محدود است.
به گزارش مرکز مدیریت راهبردی افتا، WinRM جزئی از Windows Hardware Management محسوب میشود.
CVE-۲۰۲۱-۳۱۱۶۶ از فایل HTTP.sys ناشی میشود.
سرویسدهنده IIS از HTTP.sys بهعنوان یکListener برای پردازش درخواستهای HTTP استفاده میکند.
مایکروسافت ۲۱ اردیبهشت ۱۴۰۰ وصله CVE-۲۰۲۱-۳۱۱۶۶ را منتشر کرد.
این شرکت اعلام کرده است که سوءاستفاده از این آسیبپذیری امکان اجرای کد از راه دور را میسر میکند.
پس از انتشار جزئیات CVE-۲۰۲۱-۳۱۱۶۶، مشخص شد که سرویس WinRM در سیستم عاملهای Windows ۱۰ و Windows Server نیز نسبت به این ضعف امنیتی آسیبپذیر هستند.
WinRM بهصورت پیشفرض بر روی Windows ۱۰ غیرفعال است. اما بر روی سرورها در وضعیت فعال قرار دارد و استفاده از آن نیز در بسترهای سازمانی متداول است.
گزارش سایت shodan مبنی بر تعداد سرویسهای WinRM در دسترس
برطبق آمار سایت shodan.io، در حال حاضر سرویس WinRM بر روی بیش از ۲ میلیون سیستم ویندوزی فعال و قابل دسترس در اینترنت است؛ با این توضیح که تنها نسخ ۲۰۰۴ و ۲۰H۲ سیستمهای عامل Windows ۱۰ و Windows Server آسیبپذیر گزارش شدهاند.
باتوجه به انتشار POC و گسترده بودن دامنه این آسیبپذیری، کارشناسان مرکز مدیریت راهبردی افتا به کلیه راهبران سیستم توصیه اکید کردهاند تا در اسرع وقت به نصب وصله امنیتی مربوط اقدام کنند.
منابع:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-۲۰۲۱-۳۱۱۶۶
دیدگاه شما