نتایج بررسی محققان نشان میدهد که آسیبپذیری CVE-2021-31166، سرویس WinRM در نسخ 2004 و 20H2 سیستمهای عامل Windows 10 و Windows Server را نیز متأثر میکند. پیشتر تصور میشد دامنه این آسیبپذیری محدود به سرویس IIS است.
CVE-2021-31166 از HTTP Protocol Stack یا همان فایل HTTP.sys که سرویسدهنده Windows Internet Information Services – به اختصار IIS – از آن بهعنوان یک شنودکننده (Listener) بهمنظور پردازش درخواستهای HTTP استفاده میکند ناشی میشود.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده یافتههای جدید در خصوص این آسیبپذیری مورد بررسی قرار گرفته است.
مایکروسافت 21 اردیبهشت وصله CVE-2021-31166 را منتشر کرد. این شرکت اعلام کرده که سوءاستفاده از این آسیبپذیری امکان “اجرای کد بهصورت از راه دور” را در “بسیاری مواقع” میسر میکند. مایکروسافت اعمال وصله را با اولویت بالا توصیه کرده است.
بهتازگی نیز نمونه اثباتگر (Proof-of-Concept) آن بهصورت عمومی در دسترس قرار گرفته است.
پس از انتشار جزییات CVE-2021-31166، یک محقق امنیتی خبر داد که دستگاههای با هر یک از سیستمهای عامل Windows 10 و Windows Server که سرویس WinRM بر روی آنها فعال است هم نسبت به این ضعف امنیتی آسیبپذیر هستند.
Windows Remote Management – به اختصار WinRM – جزیی از Windows Hardware Management محسوب میشود.
WinRM بهصورت پیشفرض بر روی Windows 10 غیرفعال است. اما بر روی سرورها این سرویس بهطور پیشفرض در وضعیت فعال قرار دارد و استفاده از آن نیز در بسترهای سازمانی متداول است.
بر طبق آمار سایت shodan.io در حال حاضر بیش از 2 میلیون سامانه Windows که WinRM بر روی آنها فعال است در اینترنت قابل دسترس هستند. با این توضیح که تنها نسخ 2004 و 20H2 سیستمهای عامل Windows 10 و Windows Server آسیبپذیر گزارش شدهاند.
با توجه به انتشار نمونه اثباتگر و گسترده بودن دامنه این آسیبپذیری، به کلیه راهبران توصیه میشود چنانچه هنوز نسبت به اعمال وصله امنیتی مربوطه اقدام نکردهاند، انجام آن را با اولویت بالا در دستور کار قرار دهند.