漏洞復現!Windows HTTP Protocol Stack遠程代碼執行漏洞(CVE-2022-21907)
0x01漏洞狀態
漏洞細節 漏洞POC 漏洞EXP 在野利用 否 公開 未知 未知 |
0x02漏洞描述
Windows HTTP protocol stack(HTTP.sys)是Windows處理HTTP請求的內核驅動程序。其常見于Web瀏覽器與 Web 服務器之間的通信,以及Internet Information Services (IIS)中。
2022年1月11日,360漏洞云監測到Microsoft發布1月安全更新,其中修復了HTTP Protocol Stack遠程代碼執行漏洞。漏洞編號:CVE-2022-21907,漏洞威脅等級:嚴重,漏洞評分:9.8。目前,360漏洞云已復現該漏洞。
經360漏洞云安全專家研判,HTTP Protocol Stack是全球使用廣泛的系統組件。該漏洞影響19個Windows系統的多個版本,該漏洞是嚴重且可蠕蟲的,可以通過網絡自我傳播而無需用戶交互,官方已經發布該產品的最新版本,建議用戶盡快升級組件,修復緩解該漏洞。
HTTP Protocol Stack遠程代碼執行漏洞
HTTP Protocol Stack遠程代碼執行漏洞 漏洞編號 CVE-2022-21907 漏洞類型 遠程代碼執行 漏洞等級 嚴重(9.8) 公開狀態 已發現 在野利用 未知 漏洞描述 未授權的遠程攻擊者通過向 Web 服務器發送一個特制的 HTTP 請求,觸發緩沖區溢出,從而在目標系統上造成服務器拒絕服務或執行任意代碼。 該漏洞可能允許攻擊者通過向利用 HTTP 協議棧 (http.sys) 處理數據包的系統發送特制數據包來獲得受影響系統上的代碼執行。 該漏洞是嚴重且可蠕蟲的,可以通過網絡自我傳播而無需用戶交互。 |
0x03漏洞影響力分析
360漏洞云團隊研判,本漏洞是由于Widows系統中HTTP內核組件引起,影響到對依托于該組件的IIS服務,以及使用了Windows HTTP組件二次開發出的定制化HTTP服務,針對該漏洞,360漏洞云團隊依托公司的quake(https://quake.#/quake/)進行影響面分析,分析語法如下:
server: "Microsoft-IIS"
排除蜜罐、去除重復數據,360 quake監測到全球共10853932(約1085萬)個服務存在該漏洞風險,其中美國、中國、德國、日本、印度等五大國家受到的影響比較嚴重。
country: "China" AND server: "Microsoft-IIS"
同時,分析去除蜜罐、重復數據,發現國內有2230768(約223萬)個服務存在潛在風險,其中香港、浙江、北京、廣東、上海、臺灣、山東、江蘇等八大區域受到的影響比較嚴重。
0x04漏洞等級
風險級別 CVSS評分 嚴重 9.8 攻擊方式 攻擊復雜性 網絡 低 特權要求 用戶交互 不需要 不需要 機密影響 完整性影響 高危 高危 可用性影響 范圍影響 高危 更改 |
0x05影響版本
此漏洞影響啟用了使用 HTTP.sys 的應用程序(如IIS)的以下版本的Windows或Windows Server主機:
1.WindowsServer, version 20H2 (Server Core Installation)
2.WindowsServer 2022 (Server Core installation)
3.WindowsServer 2022
4.WindowsServer 2019 (Server Core installation)
5.WindowsServer 2019
6.Windows11 for x64-based Systems
7.Windows11 for ARM64-based Systems
8.Windows10 Version 21H2 for x64-based Systems
9.Windows10 Version 21H2 for ARM64-based Systems
10.Windows10 Version 21H2 for 32-bit Systems
11.Windows10 Version 21H1 for x64-based Systems
12.Windows10 Version 21H1 for ARM64-based Systems
13.Windows10 Version 21H1 for 32-bit Systems
14.Windows10 Version 20H2 for x64-based Systems
15.Windows10 Version 20H2 for ARM64-based Systems
16.Windows10 Version 20H2 for 32-bit Systems
17.Windows10 Version 1809 for x64-based Systems
18.Windows10 Version 1809 for ARM64-based Systems
19.Windows10 Version 1809 for 32-bit Systems
0x06漏洞復現
2022年01月17日17點08分,360漏洞云安全專家已第一時間復現上述漏洞,演示如下:
CVE-2022-21907
完整POC代碼已在360漏洞云情報平臺(https://loudongyun.#/)發布,360漏洞云情報平臺用戶可通過平臺下載進行安全自檢。
0x07修復建議
臨時解決方案
若使用Windows Server 2019和Windows 10 version 1809版本的用戶暫時無法安裝補丁,在默認情況下,包含該漏洞的功能不活躍。
可進行如下排查:
若注冊表啟用了“EnableTrailerSupport”,在注冊表中刪除“EnableTrailerSupport”可防護此漏洞的攻擊。
“EnableTrailerSupport”的路徑為:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters
正式修復方案
目前微軟已發布相關安全更新,鑒于漏洞的嚴重性,建議受影響的用戶盡快修復。
1. Windows 自動更新
Microsoft Update默認啟用,當系統檢測到可用更新時,將會自動下載更新并在下一次啟動時安裝。
①點擊“開始菜單”或按Windows快捷鍵,點擊進入“設置”
②選擇“更新和安全”,進入“Windows更新”(Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通過控制面板進入“Windows更新”,具體步驟為“控制面板”->“系統和安全”->“Windows更新”)
③選擇“檢查更新”,等待系統將自動檢查并下載可用更新。
④重啟計算機,安裝更新系統重新啟動后,可通過進入“Windows更新”->“查看更新歷史記錄”查看是否成功安裝了更新。對于沒有成功安裝的更新,可以點擊該更新名稱進入微軟官方更新描述鏈接,點擊最新的SSU名稱并在新鏈接中點擊“Microsoft 更新目錄”,然后在新鏈接中選擇適用于目標系統的補丁進行下載并安裝。
2. 手動安裝更新
對于部分不能自動更新的系統版本,可前往Microsoft官方下載相應補丁進行更新。
下載鏈接如下:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21907
與此同時,請做好資產自查以及預防工作,以免遭受黑客攻擊。
