Опубликован PoC-код для эксплуатации уязвимости в Windows IIS

Материал из Викиновостей, свободного источника новостей
Перейти к навигации Перейти к поиску

17 мая 2021 года

Wikinews-logo-ru.svg

Исследователь безопасности опубликовал тестовый PoC-код для эксплуатации червеобразной уязвимости (CVE-2021-31166) в сервере Windows IIS.

Проблема получила оценку 9,8 баллов из 10 максимальных по шкале CVSSv3 и представляет собой уязвимость повреждения памяти в стеке протокола HTTP, включенном в последние версии Windows. Стек используется встроенным сервером Windows IIS. Если сервер включен, злоумышленник может отправить специально сформированный пакет и выполнить вредоносный код прямо в ядре операционной системы.

Хотя уязвимость кажется чрезвычайно опасной, есть также несколько факторов, снижающих риск. Во-первых, проблема затрагивает только последние версии Windows, включая Windows 10 2004 и 20H2, а также Windows Server 2004 и 20H2.

Бывший инженер Microsoft Аксель Суше (Axel Souchet) также опубликовал PoC-код для эксплуатации уязвимости, однако код не включает возможности червеобразного заражения сетей, а только приводит к сбою системы Windows.

 

Источники[править]

Cartoon Robot.svg
Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
 

Комментарии:Опубликован PoC-код для эксплуатации уязвимости в Windows IIS