周末发布了概念验证漏洞利用代码,以解决最新Windows 10和Windows Server版本中的一个严重的可蠕虫漏洞。
该错误被跟踪为CVE-2021-31166,是在Windows Internet信息服务(IIS)Web服务器用作处理HTTP请求的协议侦听器的HTTP协议堆栈(HTTP.sys)中找到的。
Microsoft已在本月的补丁星期二修补了此漏洞,并且仅影响Windows 10版本2004 / 20H2和Windows Server版本2004 / 20H2。
CVE-2021-31166漏洞需要攻击者利用易受攻击的HTTP协议栈将恶意制作的数据包发送到目标服务器,以处理数据包。
Microsoft建议优先考虑修补所有受影响的服务器,因为该错误可能允许未经身份验证的攻击者“在大多数情况下”远程执行任意代码。
演示漏洞触发蓝屏死机
安全研究人员Axel Souchet在周日发布的演示漏洞利用代码是一种概念验证(PoC),缺乏自动扩展功能。
他的PoC攻击滥用HTTP.sys中的“无用后引用”来触发拒绝服务(DoS),从而导致易受攻击的系统上蓝屏死机BSOD。
Souchet解释说: “错误本身发生在http!UlpParseContentCoding中,其中该函数具有本地LIST_ENTRY并将其追加项。”
“完成后,它将移入Request结构;但是在本地列表中,它不会为NULL。
“这样做的问题是,攻击者可以触发代码路径,释放本地列表的每个条目,使它们悬挂在Request对象中。”
我已经建立了一个对的PoC CVE-2021-31166的“HTTP协议栈远程代码执行漏洞”:https://t.co/8mqLCByvCp pic.twitter.com/yzgUs2CQO5-Axel Souchet(@ 0vercl0k)
2021年5月16日
大多数潜在目标可能免受攻击
虽然PoC的发布可以使威胁行为者更快地开发自己的设备,从而可能允许远程执行代码,但补丁程序也应该很快,并且鉴于大多数具有最新Windows 10版本的家庭用户本周早些时候已经进行了更新,其影响也很有限。
同样,由于大多数公司通常不使用最新的Window Server版本,因此大多数公司可能会免受针对CVE-2021-31166错误的攻击。
微软在过去两年中修补了其他可感染的错误,影响了远程桌面服务(RDS)平台(又名BlueKeep),服务器消息块v3协议(又名SMBGhost)和Windows DNS服务器(又名SIGRed)。
攻击者尚未滥用它们来创建可传播蠕虫的恶意软件,该恶意软件可以在运行这些易受攻击的Windows组件的计算机之间传播。
*编译:Domino
*来自:bleepingcomputer