STATEMENT
声明
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。
雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。
NO.1 前言
2021年5月12日,微软在5月份的安全补丁日中发布了一枚影响广泛的高危漏洞CVE-2021-31166。该漏洞存在于HTTP 协议栈驱动模块 (http.sys),攻击者可以远程通过向目标主机发送特制数据包来进行利用,成功利用可能造成目标系统崩溃或远程代码执行(困难)。微软官方标记为Wormable和Exploitation More Likely,这意味着漏洞利用可能性很大且有可能被恶意攻击者制作成可自我复制的蠕虫病毒进行大规模攻击。
5月16日,该漏洞POC已公开,漏洞风险正在增加。安恒AiLPHA安全团队建议客户尽快升级官方补丁。
NO.2 漏洞基本信息
超文本传输协议(HTTP)是一个用于传输超媒体文档(例如HTML)的应用层协议。它是为Web浏览器与Web服务器之间的通信而设计的,Windows上的HTTP协议栈用于Windows上的Web服务器,如IIS,若该协议栈相关的组件存在漏洞,则可能导致远程恶意代码执行。
Http.sys存在一处UAF漏洞,当构造不正常的Accept-Encoding后,链表条目可能会在释放后被重新引用。经过AiLPHA安全团队第一时间分析验证,该漏洞利用成功可稳定触发系统蓝屏,导致系统业务运行中断。
漏洞影响版本:
Windows Server, version 20H2 (Server Core Installation)
Windows Server, version 2004 (Server Core installation)
Windows 10 Version 20H2 for ARM64-based Systems
Windows 10 Version 20H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows 10 Version 2004 for x64-based Systems
Windows 10 Version 2004 for ARM64-based Systems
Windows 10 Version 2004 for 32-bit Systems
NO.3 安恒AiLPHA产品检测方案
1、AiNTA流量探针检测方案
AiNTA流量探针在第一时间加入了对以上网络公开漏洞的检测规则,请将规则包升级到1.1.184版本(AiNTA-v1.1.5_release_ruletag_1.1.184)及以上版本。
规则名称:Windows HTTP协议栈远程执行代码漏洞(CVE-2021-31166)
规则编号:93007342
AiNTA探针规则升级方法:系统管理->手动升级,选择“上传升级包”。升级成功后,规则版本会变为最新的版本号。
2、APT攻击预警平台
APT攻击预警平台已经在第一时间加入了对以上漏洞的检测,请将规则包升级到
GoldenEyeIPv6_BE34D_strategy2.0.24921.210517.1及以上版本。
规则名称:Windows HTTP协议栈远程执行代码漏洞(CVE-2021-31166)
规则编号:9104825
APT攻击预警平台规则升级方法:系统->升级管理,选择“手动升级”或“在线升级”。
AiNTA流量探针和APT攻击预警平台的规则升级包请到安恒社区下载:
https://bbs.dbappsecurity.com.cn/。
NO.5 漏洞修复方案
微软于5月12日发布当月安全更新时,已修复该漏洞,建议受影响的用户及时安装官方补丁。
微软补丁地址:
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-31166
RECRUITMENT
招聘启事
END
长按识别二维码关注我们
本文始发于微信公众号(雷神众测):HTTP协议栈远程代码执行漏洞POC已公开,安恒AiLPHA建议您尽快升级
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论