{"id":254003,"date":"2021-05-25T12:25:45","date_gmt":"2021-05-25T10:25:45","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=254003"},"modified":"2021-05-25T13:23:29","modified_gmt":"2021-05-25T11:23:29","slug":"http-sys-schwachstelle-cve-2021-31166-bedroht-auch-winrm-dienst","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/05\/25\/http-sys-schwachstelle-cve-2021-31166-bedroht-auch-winrm-dienst\/","title":{"rendered":"http-sys Schwachstelle (CVE-2021-31166) bedroht auch WinRM-Dienst"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Die bereits im Mai 2021 gepatchte http-sys Schwachstelle (CVE-2021-31166) ist gravierender als zun\u00e4chst angenommen. Bedroht sind auch Windows 10\/Windows-Server-Systeme, auf denen der Windows-Remote-Management-Service (WinRM) l\u00e4uft. Administratoren sollten sicherstellen, dass die betroffenen Systeme gepatcht sind, da die http-sys Schwachstelle eine wurmartige Ausbreitung von Schadsoftware erm\u00f6glicht.<\/p>\n

<\/p>\n

Die http-sys-Schwachstelle CVE-2021-31166<\/h2>\n

\"\"CVE-2021-31166 handelt es sich um eine HTTP Protocol Stack Remote Code Execution (RCE)-Schwachstelle durch einen Speicher\u00fcberlauf, die aus der Ferne \u00fcber ein Netzwerk bzw. per Internet ausnutzbar ist. In den meisten Szenarien, schreibt Microsoft, k\u00f6nnte ein nicht authentifizierter Angreifer ein speziell gestaltetes Paket per Netzwerk\/Internet an einen Zielserver senden, der den HTTP-Protokollstapel (http.sys) zur Verarbeitung von Paketen verwendet. Das erm\u00f6glicht eine Remote-Code-Ausf\u00fchrung (RCE) auf dem Zielsystem oder schickt die Maschine zumindest in einen Bluescreen.<\/p>\n

\u00dcber die Schwachstelle k\u00f6nnte sich (laut Microsoft) entsprechende Schadsoftware wurmartig im Netzwerk verbreiten. Daher wurde der Schwachstelle ein CVE-Wert von 9.8 (max. ist 10) zugeordnet. Betroffen sind Windows 10-Systeme ab Version 2004 und die zugeh\u00f6rigen Server-Pendants. Microsoft empfiehlt, die betroffenen Server vorrangig zu patchen, denn die Sicherheitsupdates vom 11. Mai 2021 schlie\u00dfen diese Schwachstelle auf unterst\u00fctzten Windows-Systemen (siehe Patchday: Windows 10-Updates (11. Mai 2021)<\/a>).<\/p>\n

Bedroht sind Windows 10 ab Version 2004, Windows 10 20H2 und Windows Server 20H2. Inzwischen ist auch ein Exploit als Proof of Concept \u00f6ffentlich verf\u00fcgbar (siehe Exploit f\u00fcr http-sys-Schwachstelle CVE-2021-31166 in Windows verf\u00fcgbar, patchen!<\/a>).<\/p>\n

Auch WinRM betroffen<\/h2>\n

Sicherheitsforscher Jim DeVries hatte vor einer Woche auf Twitter die Frage<\/a> gestellt, ob auch Systeme\u00a0 \u00fcber den Windows-Remote-Management-Service (WinRM) betroffen seien – und sp\u00e4ter diese Frage mit ja beantwortet.<\/p>\n

<\/a><\/p>\n

Will Dormann, dem diese Tweets aufgefallen sind, hat im Anschluss eine Suchmaschine (Shodan) befragt und mehr als 2 Millionen Systeme (in Deutschland ca. 62.000) mit aktiviertem WinRM gefunden. Auf Windows Server ist WinRM<\/a> standardm\u00e4\u00dfig aktiviert – unter Windows 10 und h\u00f6her kann es vom Administrator manuell aktiviert werden.<\/p>\n

Unklar ist mir aber, wie h\u00e4ufig wirklich angreifbare Produktivsysteme mit Windows Server 2004 und 20H2 sowie Windows 10 Version 2004 oder h\u00f6her mit aktiviertem WinRM wirklich im Betrieb sind. Diese Suche<\/a> liefert mir ca. eine halbe Million Systeme mit Windows Server 2004. Denn nur diese Systeme sind \u00fcber die Schwachstelle \u00fcberhaupt angreifbar. Alle ungepatchten Systeme aus dieser Kategorie unterliegen damit aber dem Risiko, dass eine Malware, die diese Schwachstelle ausnutzt, sich wurmartig in (Firmen-)-Netzwerken verbreitet. Bleeping Computer hat das Ganze in diesem Artikel<\/a> zusammen gefasst. Ein deutschsprachiger Beitrag l\u00e4sst sich bei heise<\/a> abrufen.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nPatchday: Windows 10-Updates (11. Mai 2021)<\/a>
\nExploit f\u00fcr http-sys-Schwachstelle CVE-2021-31166 in Windows verf\u00fcgbar, patchen!<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Die bereits im Mai 2021 gepatchte http-sys Schwachstelle (CVE-2021-31166) ist gravierender als zun\u00e4chst angenommen. Bedroht sind auch Windows 10\/Windows-Server-Systeme, auf denen der Windows-Remote-Management-Service (WinRM) l\u00e4uft. Administratoren sollten sicherstellen, dass die betroffenen Systeme gepatcht sind, da die http-sys Schwachstelle eine wurmartige … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,185,3694,2557],"tags":[4328,4315,4378,4364],"class_list":["post-254003","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-update","category-windows-10","category-windows-server","tag-sicherheit","tag-update","tag-windows-10","tag-windows-server"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/254003","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=254003"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/254003\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=254003"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=254003"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=254003"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}