http-sys Schwachstelle (CVE-2021-31166) bedroht auch WinRM-Dienst

Sicherheit (Pexels, allgemeine Nutzung)[English]Die bereits im Mai 2021 gepatchte http-sys Schwachstelle (CVE-2021-31166) ist gravierender als zunächst angenommen. Bedroht sind auch Windows 10/Windows-Server-Systeme, auf denen der Windows-Remote-Management-Service (WinRM) läuft. Administratoren sollten sicherstellen, dass die betroffenen Systeme gepatcht sind, da die http-sys Schwachstelle eine wurmartige Ausbreitung von Schadsoftware ermöglicht.


Anzeige

Die http-sys-Schwachstelle CVE-2021-31166

CVE-2021-31166 handelt es sich um eine HTTP Protocol Stack Remote Code Execution (RCE)-Schwachstelle durch einen Speicherüberlauf, die aus der Ferne über ein Netzwerk bzw. per Internet ausnutzbar ist. In den meisten Szenarien, schreibt Microsoft, könnte ein nicht authentifizierter Angreifer ein speziell gestaltetes Paket per Netzwerk/Internet an einen Zielserver senden, der den HTTP-Protokollstapel (http.sys) zur Verarbeitung von Paketen verwendet. Das ermöglicht eine Remote-Code-Ausführung (RCE) auf dem Zielsystem oder schickt die Maschine zumindest in einen Bluescreen.

Über die Schwachstelle könnte sich (laut Microsoft) entsprechende Schadsoftware wurmartig im Netzwerk verbreiten. Daher wurde der Schwachstelle ein CVE-Wert von 9.8 (max. ist 10) zugeordnet. Betroffen sind Windows 10-Systeme ab Version 2004 und die zugehörigen Server-Pendants. Microsoft empfiehlt, die betroffenen Server vorrangig zu patchen, denn die Sicherheitsupdates vom 11. Mai 2021 schließen diese Schwachstelle auf unterstützten Windows-Systemen (siehe Patchday: Windows 10-Updates (11. Mai 2021)).

Bedroht sind Windows 10 ab Version 2004, Windows 10 20H2 und Windows Server 20H2. Inzwischen ist auch ein Exploit als Proof of Concept öffentlich verfügbar (siehe Exploit für http-sys-Schwachstelle CVE-2021-31166 in Windows verfügbar, patchen!).

Auch WinRM betroffen

Sicherheitsforscher Jim DeVries hatte vor einer Woche auf Twitter die Frage gestellt, ob auch Systeme  über den Windows-Remote-Management-Service (WinRM) betroffen seien – und später diese Frage mit ja beantwortet.

Will Dormann, dem diese Tweets aufgefallen sind, hat im Anschluss eine Suchmaschine (Shodan) befragt und mehr als 2 Millionen Systeme (in Deutschland ca. 62.000) mit aktiviertem WinRM gefunden. Auf Windows Server ist WinRM standardmäßig aktiviert – unter Windows 10 und höher kann es vom Administrator manuell aktiviert werden.

Unklar ist mir aber, wie häufig wirklich angreifbare Produktivsysteme mit Windows Server 2004 und 20H2 sowie Windows 10 Version 2004 oder höher mit aktiviertem WinRM wirklich im Betrieb sind. Diese Suche liefert mir ca. eine halbe Million Systeme mit Windows Server 2004. Denn nur diese Systeme sind über die Schwachstelle überhaupt angreifbar. Alle ungepatchten Systeme aus dieser Kategorie unterliegen damit aber dem Risiko, dass eine Malware, die diese Schwachstelle ausnutzt, sich wurmartig in (Firmen-)-Netzwerken verbreitet. Bleeping Computer hat das Ganze in diesem Artikel zusammen gefasst. Ein deutschsprachiger Beitrag lässt sich bei heise abrufen.

Ähnliche Artikel:
Patchday: Windows 10-Updates (11. Mai 2021)
Exploit für http-sys-Schwachstelle CVE-2021-31166 in Windows verfügbar, patchen!


Anzeige


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Update, Windows 10, Windows Server abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu http-sys Schwachstelle (CVE-2021-31166) bedroht auch WinRM-Dienst

  1. 1ST1 sagt:

    Kann denn bei der Online-Suche nach betroffenen Systemen zwischen Befall über IIS oder WinRM unterschieden werden? Wer macht Remotemanagement übers Internet verfügbar? (Wie bescheuert muss man eigentlich sein, um sowas abzuliefern?)

    • Robert Richter sagt:

      "Wie bescheuert muss man eigentlich sein, um sowas abzuliefern?"

      Ich würde eher sagen: "Wie bescheuert muss man sein, so einen Bug in der http.sys zu fabrizieren?"

      Unabhängig davon ist WinRM selbst im Intranet nicht ganz harmlos. Reicht ja, wenn eine z.B. durch eine Mail infizierte Workstation den 'Angriff' dann im Intranet startet.

    • Niels sagt:

      Die relevantere Gefahr würde ich so einschätzen das ein anders gearteter Angriff auf das Netzwerk erfolgreich einen Client infiziert und von diesem aus dann alle Systeme per WinRM angreifbar sind.

    • 1ST1 sagt:

      Niels und Robert, ihr habt beide nicht verstanden, um was es mir geht.

Schreibe einen Kommentar zu 1ST1 Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.