{"id":253653,"date":"2021-05-19T13:08:28","date_gmt":"2021-05-19T11:08:28","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=253653"},"modified":"2021-05-25T12:38:40","modified_gmt":"2021-05-25T10:38:40","slug":"exploit-fr-http-sys-schwachstelle-cve-2021-31166-in-windows-verfgbar-patchen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/05\/19\/exploit-fr-http-sys-schwachstelle-cve-2021-31166-in-windows-verfgbar-patchen\/","title":{"rendered":"Exploit für http-sys-Schwachstelle CVE-2021-31166 in Windows verfügbar, patchen!"},"content":{"rendered":"

\"Windows\"[English<\/a>]Noch ein kleiner Sicherheitshinweis f\u00fcr Administratoren von Windows-Systemen, die die Mai 2021-Sicherheitsupdates noch nicht installiert haben oder wegen Problemen deinstallieren musste. Mit den Updates vom 11. Mai 2021 wurde die http-sys-Schwachstelle CVE-2021-31166 geschlossen. Seit dem Wochenende ist nun ein Exploit zum Ausnutzen der Schwachstelle verf\u00fcgbar. Dieser l\u00f6st einen BlueScreen auf der Windows Zielmaschine aus. Ich gehe davon aus, dass es demn\u00e4chst Remote-Angriffe auf die Schwachstelle geben k\u00f6nnte.<\/p>\n

<\/p>\n

Die http-sys-Schwachstelle CVE-2021-31166<\/h2>\n

\"\"Bei CVE-2021-31166<\/a> handelt es sich um eine HTTP Protocol Stack Remote Code Execution (RCE)-Schwachstelle durch einen Speicher\u00fcberlauf, die aus der Ferne \u00fcber ein Netzwerk bzw. per Internet ausnutzbar ist. In den meisten Szenarien, schreibt Microsoft, k\u00f6nnte ein nicht authentifizierter Angreifer ein speziell gestaltetes Paket per Netzwerk\/Internet an einen Zielserver senden, der den HTTP-Protokollstapel (http.sys) zur Verarbeitung von Paketen verwendet. Das erm\u00f6glicht eine Remote-Code-Ausf\u00fchrung (RCE) auf dem Zielsystem oder schickt die Maschine zumindest in einen Bluescreen.<\/p>\n

Aber noch schlimmer: \u00dcber die Schwachstelle k\u00f6nnte sich (laut Microsoft) entsprechende Schadsoftware wurmartig im Netzwerk verbreiten,. Daher wurde der Schwachstelle ein CVE-Wert von 9.8 (max. ist 10) zugeordnet. Microsoft empfiehlt, die betroffenen Server vorrangig zu patchen, denn die Sicherheitsupdates vom 11. Mai 2021 schlie\u00dfen diese Schwachstelle auf unterst\u00fctzten Windows-Systemen (siehe Patchday: Windows 10-Updates (11. Mai 2021)<\/a>). Bedroht sind Windows 10 2004, Windows 10 20H2 und Windows Server 20H2.<\/p>\n

Exploit \u00f6ffentlich verf\u00fcgbar<\/h2>\n

Zum Wochenende hat der Ex-Microsoftler und heutige Sicherheitsforscher Axel Souchet einen funktionierenden Exploit ver\u00f6ffentlicht, auf den ich \u00fcber nachfolgenden Tweet<\/a> aufmerksam wurde.<\/p>\n

\"Exploit<\/a><\/p>\n

Hier der betreffende Tweet<\/a> von Axel Souchet – der Exploit wurde auf GitHub \u00f6ffentlich abrufbar<\/a> hinterlegt. Dieser l\u00f6st bei den betreffenden Maschinen einen BlueScreen aus.<\/p>\n

\"PoC<\/a><\/p>\n

Die Verf\u00fcgbarkeit des Proof-of-Concept-Code ist in der Regel der erste Schritt f\u00fcr Angreifer, mit diesem Angriff zu experimentieren. Irgendwann gibt es dann einen funktionierenden Exploit f\u00fcr eine Remote Code-Ausf\u00fchrung (RCE). Catalin Cimpanu hat die Details hier ver\u00f6ffentlicht<\/a>. Er schreibt: Auch wenn die Anzahl der verwundbaren Windows IIS-Server gering sein mag, wird dies die Angreifer nicht abschrecken, Exploits zu entwickeln. Also hei\u00dft es patchen.<\/p>\n

Erg\u00e4nzung:<\/strong> Alle ungepatchten Systeme mit Windows 10\/Server ab Version 2004 und aktiviertem WinRM sind auch anf\u00e4llig – siehe\u00a0http-sys Schwachstelle (CVE-2021-31166) bedroht auch WinRM-Dienst<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Noch ein kleiner Sicherheitshinweis f\u00fcr Administratoren von Windows-Systemen, die die Mai 2021-Sicherheitsupdates noch nicht installiert haben oder wegen Problemen deinstallieren musste. Mit den Updates vom 11. Mai 2021 wurde die http-sys-Schwachstelle CVE-2021-31166 geschlossen. Seit dem Wochenende ist nun ein Exploit … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,185,3694,2557],"tags":[4328,4315,3288],"class_list":["post-253653","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-update","category-windows-10","category-windows-server","tag-sicherheit","tag-update","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/253653","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=253653"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/253653\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=253653"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=253653"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=253653"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}