Microsoft: New critical Windows HTTP vulnerability is wormable
2022/01/11 BleepingComputer — Microsoft は、Windows 11 および Windows Server 2022 などの、最新の Windows デスクトップ/サーバーに影響を与えることが判明した、wormable と呼ばれる深刻な脆弱性にパッチを適用した。この脆弱性 CVE-2022-21907 (CVSS 値 7.8) には、今月の Patch Tuesday が適用されている。
このバグは、Windows Internet Information Services (IIS) Web サーバーが、HTTP リクエストを処理するためのプロトコル・リスナーとして使用されている、HTTP プロトコル・スタック (HTTP.sys) で発見された。この悪用を成功させるためには、脆弱な HTTP プロトコル・スタックを使用しているWindowsサーバーに、悪意のパケットを送信する必要がある。
ただし、この欠陥は、認証されていない攻撃者が、複雑性の低い攻撃で、かつ、大半の状況でユーザーの操作を必要とせずに、リモートから任意のコードを実行できる可能性がある。したがって、影響を受ける全てのサーバーに対して、優先的にパッチを適用することが推奨されている。
緩和策の提供 (Windows の一部のバージョンに対して)
この欠陥は、現時点において活発に悪用されていない。また、一般に公開されている PoC エクスプロイトもない。さらに、一部の Windows バージョン (Windows Server 2019 や Windows 10 Ver 1809) では、このバグを含む HTTP Trailer Support 機能がデフォルトで OFF になっている。Microsoft によると、この2つの Windows バージョンに脆弱性を取り込むためには、以下のように Windows レジストリ・キーを設定する必要がある。
HKEY_LOCAL_MACHINE_System\CurrentControlSet\Services\HTTP\Parameters
“EnableTrailerSupport”=dword:00000001
HTTP TrailerSupport 機能が OFF でれば、この 2つのバージョンを実行しているシステムは保護されるが、この緩和策は他の Windows バージョンには適用されない。
潜在的なターゲットは攻撃されない可能性が高い
ホームユーザーに対しては、今日のセキュリティ更新プログラムは、まだ適用されていない。また、大半の企業ユーザーは、最新の Windows バージョンを実行していないことから、CVE-2022-21907 の悪用から保護されていると思われる。
この2年間で Microsoft は、Windows DNS サーバー (別名 SIGRed) や、リモート・デスクトップ・サービス (RDS) プラットフォーム (別名 BlueKeep)、Server Message Block v3 プロトコル (別名 SMBGhost) などに影響を与える、いくつかのワーム性バグにパッチを適用してきた。
Microsoft は、2021年5月にも別の Windows HTTP RCE 脆弱性 CVE-2021-31166 (Wormable とタグ付けされている) に対処しており、セキュリティ研究者たちは、blue screens of death を引き起こすことが可能な、デモの悪用コードを公開している。
しかし、脆弱な Windows ソフトウェアを実行している、脆弱なシステム間で拡散することが可能な、ワーム型マルウェアを作成するために、脅威アクターたちは、この脆弱性を利用していない。
1月11日の「Microsoft 2022-01 月例アップデートは6件のゼロデイと 97件の脆弱性に対応」に含まれる脆弱性とのことですが、すべての Windows バージョンへの緩和策が提供されたわけではないということで、Bleeping Computer が取り上げているのでしょう。なお、年明けからの Microsoft に関連するトピックとしては、1月2日の「Microsoft Exchange の Y2K22 問題:Scan Engine 日付チェックの失敗を FIX」や、1月4日の「Zloader バンキング・マルウェアの新キャンペーン:Microsoft 署名検証を悪用」などがあります。よろしければ、ご参照ください。
IoT OT Security News 