Исследователь безопасности опубликовал экспериментальный код эксплойта для критической антипаразитарной уязвимости, обнаруженной в последних версиях Windows 10 и Windows Server. По данным BleepingComputer, уязвимость, отслеживаемая как CVE-2021-3166, была впервые обнаружена в стеке протоколов HTTP (HTTP.sys), используемом веб-сервером Windows Internet Information Services (IIS) в качестве прослушивателя протокола для обработки HTTP-запросов. Однако, чтобы воспользоваться этой уязвимостью, злоумышленнику придется отправить специально созданный пакет на серверы, которые все еще используют уязвимый стек протокола HTTP для обработки пакетов. К счастью, Microsoft недавно устранила эту уязвимость в рамках своих недавних обновлений «Вторник исправлений», и уязвимость затрагивает только версии Windows 2004 20/2H10 и версии Windows Server 2004/20H2. Поскольку эта ошибка может позволить злоумышленнику, не прошедшему проверку подлинности, удаленно выполнить произвольный код, Microsoft настоятельно рекомендует организациям как можно скорее исправить все затронутые серверы.
Проверка концепции кода эксплойта
Исследователь безопасности Алекс Суше опубликовал код эксплойта для проверки концепции (PoC), в котором отсутствует возможность автоматического распространения, чтобы показать, как злоумышленник может использовать CVE-2021-3166 для запуска атак на уязвимые системы и серверы Windows 10. Злоупотребляя свободным использованием после разыменования в HTTP.sys, эксплойт Souchet может вызвать отказ в обслуживании (DoS), что затем приводит к появлению синего экрана смерти (BSoD) в уязвимых системах. Более подробную информацию о том, как работает его эксплойт, он предоставил в новом посте на GitHub, заявив: «Ошибка сама по себе возникает на http! UlpParseContentCoding, где функция принимает локальный LIST_ENTRY и добавляет к нему элемент. Когда это будет сделано, он переместит его в структуру Request; но не NULL в локальном списке. Проблема заключается в том, что злоумышленник может активировать путь кода, который освобождает все записи локального списка, оставляя их висящими в объекте Request. «Хотя публикация PoC-эксплойта для этой уязвимости может облегчить киберпреступникам разработку собственных эксплойтов, тот факт, что эта уязвимость уже исправлена Microsoft и реализована в последнем раунде обновлений Windows 10, означает, что большинство систем, вероятно, защищены от Однако, если вы еще не установили последние обновления Windows 10 от Microsoft, сейчас самое время сделать это, чтобы не стать жертвой возможных атак, использующих эту уязвимость.