Windowsの重大なHTTP脆弱性により、ワームを使った攻撃が可能に

5月11日、MicrosoftWebサーバーhttp.sys非常に重大な脆弱性(CVE-2021-31166)について情報公開しました。この製品は、Windows専用のHTTPサーバーで、スタンドアロンまたはIISInternet Information Services)と連携して実行することができ、HTTPネットワークリクエストを介してインターネットトラフィックを仲介する目的で使用されます。この脆弱性は、2015年に報告された、HTTPネットワークスタックのもう1つのMicrosoftの脆弱性であるCVE-2015-1635と非常によく似ています。

発表された脆弱性はCVSSスコアが9.8であり、直接的な影響を与える可能性があり、悪用も非常に簡単であるため、影響を受ける製品に対してリモートで認証されないサービス拒否(Blue Screen of Death)を引き起こす可能性があります。

この問題はHTTP要求を含むネットワークパケット内のオブジェクトを処理する際、Windowsがポインタを不適切に追跡することが原因で発生します。HTTP.SYSはカーネルドライバーとして実装されているため、このバグを悪用すると、少なくともBSoD(Blue Screen of Death)が発生し、最悪の場合、リモートコードが実行されてワームが発生する可能性があります。この脆弱性は、潜在的な影響と悪用のしやすさの点で例外的なものですが、効果的なコード実行が可能になるかどうかは、まだわかりません。さらに、この脆弱性はWindows10およびWindows Serverの最新バージョン(2004および20H2)にのみ影響します。これらのシステムの多くはこの欠陥の影響を受けにくいWindowsServer2016や2019などLTSC(Long Term Servicing Channel)バージョンを実行しているため、インターネットに接続するエンタープライズサーバーの公開はかなり制限されます。

CVE-2021-31166は攻撃への悪用が容易であるため、今回(2021年5月)の更新プログラムを適用することが望まれます

なおこの記事の執筆時点では、CVE-2021-31166を悪用した事例は確認されていませんが、今後も脅威の状況を監視し、関連する最新情報を提供していきます。Windowsユーザーには、可能な限り直ちにパッチを適用されることをお勧めします。特に、インターネットから侵入される可能性のある外付けの機器にはご注意ください。マイクロソフトの更新プログラムを適用できない場合は、ネットワークIPSシグネチャを用いて、この脆弱性の悪用を検知・防止する「仮想パッチ」を提供しています。

McAfee Network Security PlatformNSPProtection
Sigset
バージョン:10.8.21.2
攻撃ID0x4528f000
攻撃名:HTTPMicrosoft HTTPプロトコルスタックのリモートコード実行の脆弱性(CVE-2021-31166

マカフィーナレッジベースの記事KB94510:
https://kc.mcafee.com/corporate/index?page = content&id = KB94510

※本ページの内容は2021年5月12日(US時間)更新の以下のMcAfee Blogの内容です。
原文:Major HTTP Vulnerability in Windows Could Lead to Wormable Exploit
著者:Steve Povolny