漏洞描述
Microsoft Windows HTTP 协议栈(HTTP.sys)是Windows操作系统中处理HTTP请求的内核驱动程序,常见于Web浏览器与 Web 服务器之间的通信,以及Internet Information Services (IIS)中。2022年1月15日,360安全团队向Microsoft官方提交该漏洞,该漏洞不需要进行身份认证和用户交互,微软官方将其标致为蠕虫病毒。
漏洞评级:
严重
漏洞影响范围:
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 for ARM64-based Systems
Windows 11 for x64-based Systems
Windows Server, version 20H2 (Server Core Installation)
Windows 10 Version 20H2 for ARM64-based Systems
Windows 10 Version 20H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows 10 Version 21H1 for 32-bit Systems
Windows 10 Version 21H1 for ARM64-based Systems
Windows 10 Version 21H1 for x64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
复现过程
受感染机IP:192.168.125.165
需要靶机开启IIS服务(如何开启不做赘述),关闭所有防火墙和防护措施。实现物理机和靶机相互访问,出现如下页面,即开启成功。
执行poc(该poc为师傅贡献),该poc为python脚本,文件格式改为.py格式,直接运行即可。
运行成功,靶机蓝屏重启。
小结:
该漏洞为蠕虫病毒,蠕虫病毒有以下几个模块:
(1)传播模块:负责蠕虫的传播,它可以分为扫描模块、攻击模块和复制模块三个子模块。其中,扫描模块负责探测存在漏洞的主机;攻击模块按漏洞攻击步骤自动攻击找到的对象;复制模块通过原主机和新主机交互将蠕虫程序复制到新主机并启动。
(2)隐藏模块:侵入主机后,负责隐藏蠕虫程序。
(3)目的功能模块:实现对计算机的控制、监视或破坏等。
由此可见,该漏洞影响范围之广,被感染主机一旦被攻击,都会出现蓝屏,因此,建议更新新版本。
智涵安全服务号
原文始发于微信公众号(智涵安全应急响应中心):CVE-2022-21907 http协议栈远程代码执行漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论