前几天,Microsoft在其Web服务器http.sys中发布了一个非常关键的漏洞(CVE-2021-31166)。该产品是仅Windows的HTTP服务器,可以独立运行,也可以与IIS(Internet信息服务)结合运行,用于通过HTTP网络请求代理Internet流量。该漏洞与CVE-2015-1635非常相似,CVE-2015-1635是2015年报告的HTTP网络堆栈中的另一个Microsoft漏洞。

CVSS得分9.8,表明该漏洞有可能直接受到影响,并且利用起来也非常简单,从而导致受影响产品的远程未经身份验证的拒绝服务(蓝屏死机)。

此问题是由于Windows在处理包含HTTP请求的网络数据包中的对象时,不正确地跟踪指针。由于HTTP.SYS被实现为内核驱动程序,因此利用此错误至少会导致蓝屏死机(BSoD),在最坏的情况下,远程代码执行可能会受到蠕虫攻击。尽管此漏洞在潜在影响和易于利用方面非常出色,但是否能够实现有效的代码执行还有待观察。此外,此漏洞仅影响Windows 10和Windows Server(2004和20H2)的最新版本,这意味着面向Internet的企业服务器所受的威胁相当有限,因为其中许多系统都运行长期服务通道(LTSC)版本,例如Windows Server 2016和2019,它们不容易受到此漏洞的影响。

在撰写本文时,我们尚不了解CVE-2021-31166的任何“野外”利用,但将继续监视威胁情况并提供相关更新。我们敦促Windows用户尽可能立即应用补丁,尤其要注意可能会受到Internet威胁的面向外部的设备。对于无法应用Microsoft更新的用户,我们以网络IPS签名的形式提供“虚拟补丁”,可用于检测和防止对该漏洞的利用尝试。