安全研究

天地和兴 天地和兴

天地和兴

全部分类

堪比永恒之蓝:HTTP协议栈远程代码执行漏洞CVE-2022-21907

  • 分类:漏洞分析利用
  • 作者:天地和兴
  • 来源:
  • 发布时间:2022-01-28 13:07
  • 访问量:

【概要描述】1月12日,微软发布月度安全更新,其中修复了一个HTTP协议栈远程代码执行漏洞(CVE-2022-21907)。由于HTTP协议栈(HTTP.sys)中的HTTP Trailer Support功能存在边界错误可导致缓冲区溢出。

堪比永恒之蓝:HTTP协议栈远程代码执行漏洞CVE-2022-21907

【概要描述】1月12日,微软发布月度安全更新,其中修复了一个HTTP协议栈远程代码执行漏洞(CVE-2022-21907)。由于HTTP协议栈(HTTP.sys)中的HTTP Trailer Support功能存在边界错误可导致缓冲区溢出。

  • 分类:漏洞分析利用
  • 作者:天地和兴
  • 来源:
  • 发布时间:2022-01-28 13:07
  • 访问量:
详情

 

112日,微软发布月度安全更新,其中修复了一个HTTP协议栈远程代码执行漏洞(CVE-2022-21907)。由于HTTP协议栈(HTTP.sys)中的HTTP Trailer Support功能存在边界错误可导致缓冲区溢出。

 

 

0x00:漏洞概述

2022113日,北京天地和兴安全团队监测到一则微软安全更新中修复的漏洞信息,漏洞编号:CVE-2022-21907CVSS评分为9.8,漏洞威胁等级:超危。攻击者通过向Web服务器发送特制的HTTP数据包,从而在目标系统上执行任意代码。该漏洞被微软提示为可蠕虫化,无需用户交互便可通过网络进行自我传播。目前已有可造成目标主机蓝屏崩溃的POC出现,可远程执行代码的漏洞利用或已存在。

 

 

0x01:影响范围

工业控制系统中的上位机、工作站大量使用Windows系统,涉及以下版本:

  • Windows Server 2019 (Server Core installation)
  • Windows Server 2019
  • Windows Server 2022 (Server Core installation)
  • Windows Server 2022
  • Windows Server, version 20H2 (Server Core Installation)
  • Windows 11 for ARM64-based Systems
  • Windows 11 for x64-based Systems
  • Windows 10 Version 20H2 for 32-bit Systems
  • Windows 10 Version 20H2 for ARM64-based Systems
  • Windows 10 Version 20H2 for x64-based Systems
  • Windows 10 Version 21H1 for 32-bit Systems
  • Windows 10 Version 21H1 for ARM64-based Systems
  • Windows 10 Version 21H1 for x64-based Systems
  • Windows 10 Version 21H2 for 32-bit Systems
  • Windows 10 Version 21H2 for ARM64-based Systems
  • Windows 10 Version 21H2 for x64-based Systems
  • Windows 10 Version 1809 for 32-bit Systems
  • Windows 10 Version 1809 for ARM64-based Systems
  • Windows 10 Version 1809 for x64-based Systems

不受影响版本:

  • Windows 10 version 1909
  • Windows Server 2019(默认配置不受影响)
  • Windows 10 version 1809(默认配置不受影响)

 

0x02:漏洞复现

Windows HTTP 协议栈(HTTP.sys)是Windows操作系统中处理HTTP请求的内核驱动程序,常见于Web浏览器与 Web 服务器之间的通信,以及Internet Information Services (IIS)中。

漏洞复现过程:

1、搭建存在漏洞的Win10系统

 

 

 

2、启用IIS服务

 

3、启动网站

4、此时可正常访问网站

5、运行POC脚本后,Win10系统蓝屏

6、分析Dump文件

7、调用栈情况

 

0x03:修复及缓解建议

Windows系统默认启用Microsoft Update,当检测到可用更新时,将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新:

1、点击开始菜单或按Windows快捷键,点击进入设置

2、选择更新和安全,进入“Windows更新Windows8Windows 8.1WindowsServer 2012以及Windows Server2012 R2可通过控制面板进入“Windows更新,步骤为控制面板”->“系统和安全”->“Windows更新

3、选择检查更新,等待系统将自动检查并下载可用更新

4、重启计算机,安装更新

目前微软官方已针对受支持的产品版本发布了修复以上漏洞的安全补丁,强烈建议受影响用户尽快安装补丁进行防护,官方下载链接:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21907

 

参考资源:

1https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21907

 

扫二维码用手机看

上一个: 惊爆!!!Linux内核存在本地提权高危漏洞Dirty Pipe
下一个: 存在12年之久的Linux本地提权高危漏洞CVE-2021-4034
上一个: 惊爆!!!Linux内核存在本地提权高危漏洞Dirty Pipe
下一个: 存在12年之久的Linux本地提权高危漏洞CVE-2021-4034
天地和兴

公司总部:北京市海淀区西北旺东路10号院博彦科技大厦C座6层

服务热线:400-810-8981 /  010-56380988

版权所有: 北京天地和兴科技有限公司      京ICP备17065546号-1    京公网安备 11010802040756号

扫一扫关注

天地和兴微信公众号

TOP