Сетевая атака DoS.Win.CVE-2021-31166.a

[Msport23]

Добрый день!

Перешли на Касперский Премиум с начала августа. Сразу не заметили, а с 09.08.2024 по сейчас на мини-сервере 1С (файловые БД) Касперский блокирует постоянные сетевые атаки, вот такого содержания:

Цитата

Пользователь: ****\User8
Тип пользователя: Активный пользователь
Компонент: Защита от сетевых атак
Описание результата: Запрещено
Название: DoS.Win.CVE-2021-31166.a
Объект: TCP от 40.121.19.40:17857 на 192.168.1.96:80
MAC-адрес атакующего компьютера: 50-FF-20-50-58-70
Дополнительно: 192.168.1.96
Дата выпуска баз: Сегодня, 17.08.2024

Почитал в интернете про DoS.Win.CVE-2021-31166.a, нашел рекомендацию о проверке системы утилитой Microsoft Saffety Scanner, проверил, утилита нашла 42 инфицированных объекта и вроде как их излечила, но сообщения о сетевых атаках продолжились. 

Запустил повторно утилиту Microsoft Saffety Scanner и уже вижу, что она ищет и находит те же самые объекты, т.е. ничего не излечено. Так же запустил полную проверку Касперским, но полаю это ничего не даст.

Как я уже написал, этот комп - минисервер 1С, на котором настроен WEB-сервер на IIS по HTTP как раз на порт 80. На роутере настроена проброска портов, а конкретно 80 порта на этот комп. Вижу вариант перейти на более безопасный протокол HTTPS с SSL-сертификатом и перенастроить проброску портов на 443 порт. Я не сильно в этом шарю, но сделать это пожалуй смогу сам, займусь с понедельника. Подскажите поможет ли это с этой сетевой атакой и можно ли как-то устранить эту атаку сейчас?

 

[andrew75]

А обновления на Windows установлены?

Эта уязвимость вроде как давно пропатчена.

[Msport23]

В 17.08.2024 в 17:16, andrew75 сказал:

А обновления на Windows установлены?

Эта уязвимость вроде как давно пропатчена.

Конечно, обновляемся регулярно. Забыл указать ОС Windows 10 64 bit.

[Ser_S]

У меня тоже такая же сетевая атака заблокирована "Название: DoS.Win.CVE-2021-31166.a", OS система server 2012(Microsoft Windows [Version 6.2.9200]), в Центре обновления Windows, написано "Нет доступных обновлений", даже при принудительной проверке обновлений.. Надо предпринимать какие-нибудь дополнительные действия(каким-то образом патчить ядро или ещё что-то) или нет. Какой пакет обновлений надо найти в обновлениях, который закрыл эту уязвимость? Т.к. комп находится в домене, может он ищет обновления не в инете, а на каком-нибудь локальном сервере, какой командой можно проверить, что источником обновлений является сервера Windows?

Edited October 17, 2024 by Ser_S
Дополнение

[Maratka]

В 17.10.2024 в 12:05, Ser_S сказал:

server 2012

Поддержка прекращена осенью 2023-го, т.е. никак ничего там не обновить.

[Friend]

8 минут назад, Maratka сказал:

Поддержка прекращена осенью 2023-го, т.е. никак ничего там не обновить.

Если верить сайту MS, то данная уязвимость исправлена в 2021 году, но почему-то там нет OS Windows Server 2012.

[Maratka]

Возможно это была платная поддержка. Ну как Windows 7 обновлялась же три года за денежку, вот там само.
 

В любом случае, держать в домене год не обновляемый сервер я бы не стал.