Proof of concept udnyttelseskode er frigivet i de nyeste Windows 10 og Windows Server-versioner

Af Eskil Sørensen, 19/05/21

Sårbarhederne er opdateret i denne måneds Patch Tuesday.

Som det er normen efter en Patch Tuesday bliver der vha. reverse engineering fundet og frigivet Proof-of-concept udnyttelseskoder til de sårbarheder, som Patch Tuesday adresserer. Således også denne gang, hvor der søndag, dvs. fem dage efter opdatering, blev frigivet et Proof of Concept (PoC) til en sårbarhed, CVE-2021-31166, der blev fundet i HTTP Protocol Stack (HTTP.sys). Den bruges af webserveren Windows Internet Information Services (IIS) som en ’protokollytter’ til behandling af http- anmodninger.

Det skriver Security Week m.fl., der fortæller, at udnyttelse af sårbarheden vha. PoC’en medfører en denial of service (DoS), hvilket fører til en blå skærm af døds-BSOD på sårbare systemer.

Sårbarhed er opdateret

Microsoft har opdateret sårbarheden i denne måneds Patch Tuesday, og den påvirker kun Windows 10 versioner 2004 / 20H2 og Windows Server versioner 2004 / 20H2. Udnyttelse af CVE-2021-31166 kræver, at angribere sender ondsindede pakker til målrettede servere, der bruger den sårbare HTTP protokolstak til at behandle pakker.

De fleste potentielle mål sandsynligvis sikre mod angreb

Mens vurderingen lyder, at frigivelsen af denne PoC kan gøre det muligt for trusselsaktører at udvikle deres egen hurtigere og muligvis muliggøre fjernudførelse af kode, skulle patching konsekvensen af den frigivne PoC’en efter det oplyste være begrænset, i betragtning af at de fleste hjemmebrugere har de nyeste Windows 10 versioner allerede installeret som følge af opdateringen i sidste uge.

Ligeledes er de fleste virksomheder ifølge Security Week sandsynligvis sikre mod udnyttelse, da de ofte ikke bruger de nyeste Window Server versioner.

Microsoft har patched andre ormeagtige sårbarheder de sidste to år, hvilket har påvirket Remote Desktop Services (RDS)(BlueKeep), Server Message Block v3 protokollen (SMBGhost) og Windows DNS server (SIGRed).

Microsoft anbefaler at patche alle berørte servere, da sårbarheden kan tillade uautoriserede angribere at afvikle vilkårlig kode udefra.

Links:

https://www.bleepingcomputer.com/news/security/exploit-released-for-wormable-windows-http-vulnerability/

https://therecord.media/poc-released-for-wormable-windows-iis-bug/

https://securityaffairs.co/wordpress/118015/hacking/poc-windows-iis-cve-2021-31166.html