HTTP协议栈远程代码执行漏洞(CVE-2021-31166)POC公开,腾讯安全专家再次建议用户积极修复

2021-05-17 12:58:02
微软在5月12日发布了5月安全更新补丁,其中包含HTTP协议栈远程代码执行漏洞(CVE-2021-31166),该漏洞存在于HTTP 协议栈驱动模块 (http.sys),攻击者可以远程通过向目标主机发送特制数据包来进行利用,成功利用可能造成目标系统崩溃或远程代码执行(困难)。腾讯安全团队注意到该漏洞的POC(概念验证代码)已在网上公开,漏洞利用风险正在增加,腾讯安全专家建议受影响的用户积极修复该

微软在512日发布了5月安全更新补丁,其中包含HTTP协议栈远程代码执行漏洞(CVE-2021-31166),该漏洞存在于HTTP 协议栈驱动模块 (http.sys),攻击者可以远程通过向目标主机发送特制数据包来进行利用,成功利用可能造成目标系统崩溃或远程代码执行(困难)。腾讯安全团队注意到该漏洞的POC(概念验证代码)已在网上公开,漏洞利用风险正在增加,腾讯安全专家建议受影响的用户积极修复该漏洞。

漏洞详情:

CVE-2021-31166漏洞由微软安全团队发现,已在517日公开POC代码:

http.sys存在一处uaf漏洞,当构造不正常的Accept-Encoding后,链表条目可能会在释放后被重新引用。腾讯安全团队已在上周四完成该漏洞的检测规则,经分析,该漏洞影响可稳定触发BSoDBlue Screen of Death,缩写BSoD)指微软Windows操作系统在无法从一个系统错误中恢复过来时显示的蓝屏死机图像。:


该漏洞被微软官方标记为Wormable(蠕虫级)和Exploitation More Likely(更可能被利用),这意味着漏洞利用可能性很大,恶意攻击者有可能通过利用该漏洞制造蠕虫病毒攻击。

超文本传输协议(HTTP)是一个用于传输超媒体文档(例如HTML)的应用层协议。它是为Web浏览器与Web服务器之间的通信而设计的,Windows上的HTTP协议栈用于Windows上的Web服务器,如IIS,若该协议栈相关的组件存在漏洞,则可能导致远程恶意代码执行。

漏洞影响范围:

Windows Server, version 20H2 (Server Core Installation)

Windows Server, version 2004 (Server Core installation)

Windows 10 Version 20H2 for ARM64-based Systems

Windows 10 Version 20H2 for 32-bit Systems

Windows 10 Version 20H2 for x64-based Systems

Windows 10 Version 2004 for x64-based Systems

Windows 10 Version 2004 for ARM64-based Systems

Windows 10 Version 2004 for 32-bit Systems

漏洞修复:

微软于512日发布当月安全更新时,已修复该漏洞。

建议受影响的用户及时安装官方补丁。推荐企业用户使用腾讯安全零信任iOAWindows安全更新扫描修复。

或通过以下链接手动下载安装补丁。

URL

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-31166

腾讯安全解决方案:

腾讯云防火墙已支持检测HTTP协议栈远程代码执行漏洞(CVE-2021-31166)漏洞;

腾讯高级威胁检测系统(NTA,御界)已支持检测该漏洞的攻击利用。

扫描以下二维码关注“腾讯安全威胁情报中心”公众号,掌握最新的网络安全威胁情报。

最新资讯