منتشر شدن اکسپلویت برای آسیب‌پذیری HTTP ویندوز

منتشر شدن اکسپلویت برای آسیب‌پذیری HTTP ویندوز

در آخر این هفته کد PoC برای بهره‌برداری از آسیب‌پذیری مهم در جدیدترین نسخه‌های Windows 10 و Windows Server منتشر شده است. این خطای نرم افزاری که با شناسه CVE-2021-31166 شناخته می‌شود، در HTTP Protocol Stack (HTTP.sys) شناسایی شده است که توسط وب سرور Windows Internet Information Services (IIS) به عنوان شنونده پروتکل برای پردازش درخواست های HTTP استفاده می شود. مایکروسافت در Patch Tuesday این ماه آسیب پذیری را وصله کرده است، و این نقص فقط بر روی نسخه های Windows 10/2004 / 20H2 و Windows Server 2004 / 20H2 تأثیر می گذارد. مهاجمان برای بهره برداری کردن از این آسیب‌پذیری CVE-2021-31166 نیاز دارند تا بسته‌های ساخته شده مخرب را به سرورهای هدف با استفاده از پروتکل آسیب پذیر HTTP برای پردازش بسته ها ارسال کنند. مایکروسافت توصیه می کند همه سرورهای آسیب دیده را اولویت بندی کنید زیرا این خطای نرم افزاری به مهاجمین غیرمجاز اجازه می دهد تا کد دلخواه را از راه دور اجرا کنند. استفاده آزمایشی باعث ایجاد صفحه های آبی مرگ ویندوز می شود. کد بهره برداری آزمایشی که توسط محقق امنیتی Axel Souchet در روز یکشنبه منتشر شد، (PoC) است که فاقد قابلیت گسترش خودکار است. کد بهره برداری PoC وی با سوء استفاده از ارجاع use-after-free رایگان در HTTP.sys، باعث Denial of Service (DoS) می شود که منجر به صفحه آبی مرگ (BSOD) در سیستم های آسیب پذیر می شود. Souchet توضیح می دهد: این نقص نرم افزاری خود در http! UlpParseContentCoding رخ می دهد که در آن تابع LIST_ENTRY محلی باشد و آیتمی را به آن ضمیمه کند. وقتی کار تمام شد، آن را به ساختار Request منتقل می کند؛ اما لیست محلی را NULL نمی کند. مسئله این است که یک مهاجم می تواند یک مسیر کد را ایجاد کند که هر ورودی از لیست محلی را آزاد می کند و آن ها را در شیء درخواست آویزان می کند. این محقق یک PoC برای CVE-2021-31166 آسیب پذیری اجرای کد از راه دور پروتکل HTTP نوشته است که از لینک زیر قابل دریافت است: https://t.co/8mqLCByvCp pic.twitter.com/yzgUs2CQO5 احتمال ایمن نبودن بیشتر اهداف بالقوه در حالی که انتشار PoC می تواند به عوامل تهدید اجازه دهد سریعتر اهداف خود را توسعه دهند و به طور بالقوه اجازه اجرای كد از راه دور را می دهد، روند وصله نیز باید سریع باشد و با توجه به اینكه بیشتر كاربران خانگی باید اوایل این هفته با آخرین نسخه های ویندوز 10 به روزرسانی شده باشند، تأثیر آن ها محدود است. به همین ترتیب، اکثر شرکت ها احتمالاً از بهره برداری با هدف قرار دادن نقص نرم افزاری CVE-2021-31166 در امان هستند، زیرا معمولاً از آخرین نسخه های Windows Server استفاده نمی کنند. مایکروسافت در نسخه‌های آسیب پذیر توصیه به‌روزرسانی و اعمال وصله‌ها به صورت فوری داشته است. تهیه و تدوین: تینا احمدی