WinRM (Windows Remote Management) est une fonctionnalité native de Microsoft (introduite en 2007) qui permet la gestion des systèmes Windows et l’exécution de commandes Powershell et CMD à distance via le protocole HTTP(s) sur les ports TCP 5985/5986. Ansible sur Windows et un certain nombre d’outil de gestion de parc (notamment Solarwinds) utilise ce vecteur de communication.
Le 12 mai 2021 une vulnérabilité (CVE-2021-31166 CVSS=7.5) à été rendue publique dans le pilote http.sys utilisé par le service WinRM.
Cette vulnérabilité permet à un attaquant de provoquer une exécution de code arbitraire à distance et peut être exploitée dans le cadre d’attaques de type ransomware.
WinRM a déjà été identifié comme partie intégrante des tactiques, techniques et procédures (TTP) utilisées par différents groupes de rançongiciels, tels que MAZE, pour réaliser des mouvements latéraux au sein du réseau de leurs victimes.
Nous recommandons en sus d’une mise à jour immédiate des systèmes d’exploitation affectés, de désactiver WinRM, qui est
- par défaut activé sur les serveurs
- par défaut désactivé sur les clients Windows10, sauf à partir des builds 2004 et 20H2
Pour information, dans le cadre de notre service de “stress-test aux ransomwares”, dans la section “restriction des applications”, nous vérifions que WinRM est bien désactivé sur les échantillons de postes de travail que nous auditons.
Pour plus d’informations:
[1] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-CVE-2021-31166
[2] https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-009/