HTTP协议栈远程代码执行漏洞(CVE-2021-31166)POC公开

admin 2021年5月17日04:26:46评论233 views字数 1563阅读5分12秒阅读模式

HTTP协议栈远程代码执行漏洞(CVE-2021-31166)POC公开

长按二维码关注

腾讯安全威胁情报中心


微软在5月12日发布了5月安全更新补丁,其中包含HTTP协议栈远程代码执行漏洞(CVE-2021-31166),该漏洞存在于HTTP 协议栈驱动模块 (http.sys),攻击者可以远程通过向目标主机发送特制数据包来进行利用,成功利用可能造成目标系统崩溃或远程代码执行(困难)。


腾讯安全团队注意到该漏洞的POC(概念验证代码)已在网上公开,漏洞利用风险正在增加,腾讯安全专家建议受影响的用户积极修复该漏洞。

1

漏洞详情


CVE-2021-31166漏洞由微软安全团队发现,已在5月17日公开POC代码:

HTTP协议栈远程代码执行漏洞(CVE-2021-31166)POC公开


http.sys存在一处uaf漏洞,当构造不正常的Accept-Encoding后,链表条目可能会在释放后被重新引用。腾讯安全团队已在上周四完成该漏洞的检测规则,经分析,该漏洞影响可稳定触发BSoD:

HTTP协议栈远程代码执行漏洞(CVE-2021-31166)POC公开

Blue Screen of Death,缩写BSoD,指微软Windows操作系统在无法从一个系统错误中恢复过来时显示的蓝屏死机图像。


该漏洞被微软官方标记为Wormable(蠕虫级)Exploitation More Likely(更可能被利用),这意味着漏洞利用可能性很大,恶意攻击者有可能通过利用该漏洞制造蠕虫病毒攻击,目前尚未监测到在野利用。


超文本传输协议(HTTP)是一个用于传输超媒体文档(例如HTML)的应用层协议。它是为Web浏览器与Web服务器之间的通信而设计的,Windows上的HTTP协议栈用于Windows上的Web服务器,如IIS,若该协议栈相关的组件存在漏洞,则可能导致远程恶意代码执行。

2

受影响的软件


Windows Server, version 20H2 (Server Core Installation)
Windows Server, version 2004 (Server Core installation)
Windows 10 Version 20H2 for ARM64-based Systems
Windows 10 Version 20H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows 10 Version 2004 for x64-based Systems
Windows 10 Version 2004 for ARM64-based Systems
Windows 10 Version 2004 for 32-bit Systems


3

漏洞修复


微软于5月12日发布当月安全更新时,已修复该漏洞,建议受影响的用户及时安装官方补丁。


推荐企业用户使用腾讯安全零信任iOA、Windows安全更新扫描修复。

HTTP协议栈远程代码执行漏洞(CVE-2021-31166)POC公开


或通过以下链接手动下载补丁后安装。
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-31166


4腾讯安全解决方案


腾讯云防火墙已支持检测HTTP协议栈远程代码执行漏洞(CVE-2021-31166)漏洞;
腾讯高级威胁检测系统(NTA,御界)已支持检测该漏洞的攻击利用。


5

时间线


2021年5月12日,微软发布5月例行安全公告,腾讯安全当天发布漏洞通告。

2021年5月17日,HTTP协议栈远程代码执行漏洞(CVE-2021-31166)POC代码在互联网上公开,腾讯安全再次发布风险通告。


HTTP协议栈远程代码执行漏洞(CVE-2021-31166)POC公开


关于腾讯安全威胁情报中心


腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。

HTTP协议栈远程代码执行漏洞(CVE-2021-31166)POC公开,腾讯安全专家再次建议用户积极修复

长按二维码关注

腾讯安全威胁情报中心

HTTP协议栈远程代码执行漏洞(CVE-2021-31166)POC公开

本文始发于微信公众号(腾讯安全威胁情报中心):HTTP协议栈远程代码执行漏洞(CVE-2021-31166)POC公开,腾讯安全专家再次建议用户积极修复

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年5月17日04:26:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   HTTP协议栈远程代码执行漏洞(CVE-2021-31166)POC公开https://cn-sec.com/archives/375751.html

发表评论

匿名网友 填写信息