Af Eskil Sørensen, 17/05/21
Microsoft har afsløret en meget kritisk sårbarhed (CVE-2021-31166) på sin webserver http.sys. Dette produkt er en Windows http-server, der kan køres uafhængigt eller i forbindelse med IIS (Internet Information Services) og bruges til at mægle internettrafik via http netværksanmodninger.
Det skriver McAfee i en blog.
Sårbarheden ligner meget CVE-2015-1635, hvilket er en anden Microsoft sårbarhed i http-netværksstakken, der blev rapporteret tilbage i 2015.
Med en CVSS-score på 9,8 har den annoncerede sårbarhed potentialet til at være både direkte påvirkende og er også usædvanligt enkel at udnytte, hvilket fører til en fjern og uautoriseret denial of service (Blue Screen of Death) hos berørte produkter.
Problemet skyldes, at Windows ukorrekt sporer markører, mens de behandler objekter i netværkspakker, der indeholder http-anmodninger. Da http.sys er implementeret som en kernedriver, vil udnyttelse af denne fejl resultere i mindst en Blue Screen of Death (BSoD) og i værste fald en ekstern kørsel af kode, som kunne opfører sig som en orm.
Ingen kendt udnyttelse pt
Mens denne sårbarhed er usædvanlig med hensyn til potentiel indvirkning og let udnyttelse, mangler det stadig at blive påvist, om effektiv kodeudførelse kan blive opnået. Desuden påvirker denne sårbarhed kun de nyeste versioner af Windows 10 og Windows Server (2004 og 20H2), hvilket betyder, at eksponeringen for internetvendte virksomhedsservere er ret begrænset, da mange af disse systemer kører LTSC-versioner (Long Term Servicing Channel), som Windows Server 2016 og 2019, som ikke er påvirket af denne sårbarhed.
På nuværende tidspunkt er man bevidst om nogen ’in the wild’-udnyttelse af sårbarheden, men der fortsættes med overvågningen af trusselslandskabet og leveringen af relevante opdateringer vil foregå som planlagt.
Det opfordres, at Windows brugere til at anvende opdateringen med det samme, hvor det er muligt, og være særlig opmærksom på enheder, der er vendt udadtil, som kan blive kompromitteret fra internettet.
Links: