[English]Noch ein kleiner Sicherheitshinweis für Administratoren von Windows-Systemen, die die Mai 2021-Sicherheitsupdates noch nicht installiert haben oder wegen Problemen deinstallieren musste. Mit den Updates vom 11. Mai 2021 wurde die http-sys-Schwachstelle CVE-2021-31166 geschlossen. Seit dem Wochenende ist nun ein Exploit zum Ausnutzen der Schwachstelle verfügbar. Dieser löst einen BlueScreen auf der Windows Zielmaschine aus. Ich gehe davon aus, dass es demnächst Remote-Angriffe auf die Schwachstelle geben könnte.
Anzeige
Die http-sys-Schwachstelle CVE-2021-31166
Bei CVE-2021-31166 handelt es sich um eine HTTP Protocol Stack Remote Code Execution (RCE)-Schwachstelle durch einen Speicherüberlauf, die aus der Ferne über ein Netzwerk bzw. per Internet ausnutzbar ist. In den meisten Szenarien, schreibt Microsoft, könnte ein nicht authentifizierter Angreifer ein speziell gestaltetes Paket per Netzwerk/Internet an einen Zielserver senden, der den HTTP-Protokollstapel (http.sys) zur Verarbeitung von Paketen verwendet. Das ermöglicht eine Remote-Code-Ausführung (RCE) auf dem Zielsystem oder schickt die Maschine zumindest in einen Bluescreen.
Aber noch schlimmer: Über die Schwachstelle könnte sich (laut Microsoft) entsprechende Schadsoftware wurmartig im Netzwerk verbreiten,. Daher wurde der Schwachstelle ein CVE-Wert von 9.8 (max. ist 10) zugeordnet. Microsoft empfiehlt, die betroffenen Server vorrangig zu patchen, denn die Sicherheitsupdates vom 11. Mai 2021 schließen diese Schwachstelle auf unterstützten Windows-Systemen (siehe Patchday: Windows 10-Updates (11. Mai 2021)). Bedroht sind Windows 10 2004, Windows 10 20H2 und Windows Server 20H2.
Exploit öffentlich verfügbar
Zum Wochenende hat der Ex-Microsoftler und heutige Sicherheitsforscher Axel Souchet einen funktionierenden Exploit veröffentlicht, auf den ich über nachfolgenden Tweet aufmerksam wurde.
Anzeige
Hier der betreffende Tweet von Axel Souchet – der Exploit wurde auf GitHub öffentlich abrufbar hinterlegt. Dieser löst bei den betreffenden Maschinen einen BlueScreen aus.
Die Verfügbarkeit des Proof-of-Concept-Code ist in der Regel der erste Schritt für Angreifer, mit diesem Angriff zu experimentieren. Irgendwann gibt es dann einen funktionierenden Exploit für eine Remote Code-Ausführung (RCE). Catalin Cimpanu hat die Details hier veröffentlicht. Er schreibt: Auch wenn die Anzahl der verwundbaren Windows IIS-Server gering sein mag, wird dies die Angreifer nicht abschrecken, Exploits zu entwickeln. Also heißt es patchen.
Ergänzung: Alle ungepatchten Systeme mit Windows 10/Server ab Version 2004 und aktiviertem WinRM sind auch anfällig – siehe http-sys Schwachstelle (CVE-2021-31166) bedroht auch WinRM-Dienst.
Anzeige
webserver exploit only via http.sys