WinRM نیز آسیب‌پذیر در برابر CVE-2021-31166

نتایج بررسی محققان نشان می‌دهد که آسیب‌پذیری CVE-2021-31166، سرویس WinRM در نسخ 2004 و 20H2 سیستم‌های عامل Windows 10 و Windows Server را نیز متأثر می‌کند. پیش‌تر تصور می‌شد دامنه این آسیب‌پذیری محدود به سرویس IIS است.

CVE-2021-31166 از HTTP Protocol Stack یا همان فایل HTTP.sys که سرویس‌دهنده Windows Internet Information Services – به اختصار IIS – از آن به‌عنوان یک شنودکننده (Listener) به‌منظور پردازش درخواست‌های HTTP استفاده می‌کند ناشی می‌شود.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده یافته‌های جدید در خصوص این آسیب‌پذیری مورد بررسی قرار گرفته است.

مایکروسافت 21 اردیبهشت وصله CVE-2021-31166 را منتشر کرد. این شرکت اعلام کرده که سوءاستفاده از این آسیب‌پذیری امکان “اجرای کد به‌صورت از راه دور” را در “بسیاری مواقع” میسر می‌کند. مایکروسافت اعمال وصله را با اولویت بالا توصیه کرده است.

به‌تازگی نیز نمونه اثبات‌گر (Proof-of-Concept) آن به‌صورت عمومی در دسترس قرار گرفته است.

پس از انتشار جزییات CVE-2021-31166، یک محقق امنیتی خبر داد که دستگاه‌های با هر یک از سیستم‌های عامل Windows 10 و Windows Server که سرویس WinRM بر روی آنها فعال است هم نسبت به این ضعف امنیتی آسیب‌پذیر هستند.

Windows Remote Management – به اختصار WinRM – جزیی از Windows Hardware Management محسوب می‌شود.

WinRM به‌صورت پیش‌فرض بر روی Windows 10 غیرفعال است. اما بر روی سرورها این سرویس به‌طور پیش‌فرض در وضعیت فعال قرار دارد و استفاده از آن نیز در بسترهای سازمانی متداول است.

بر طبق آمار سایت shodan.io در حال حاضر بیش از 2 میلیون سامانه Windows که WinRM بر روی آنها فعال است در اینترنت قابل دسترس هستند. با این توضیح که تنها نسخ 2004 و 20H2 سیستم‌های عامل Windows 10 و Windows Server آسیب‌پذیر گزارش شده‌اند.

با توجه به انتشار نمونه اثبات‌گر و گسترده بودن دامنه این آسیب‌پذیری، به کلیه راهبران توصیه می‌شود چنانچه هنوز نسبت به اعمال وصله امنیتی مربوطه اقدام نکرده‌اند، انجام آن را با اولویت بالا در دستور کار قرار دهند.