ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

Webサーバーhttp.sys 重大な脆弱性 CVE-2021-31166 リモートで認証されないサービス拒否 Blue Screen of Death

Webサーバーhttp.sys 重大な脆弱性 CVE-2021-31166が発見されて、リモートで認証されないサービス拒否 Blue Screen of Deathを引き起こす可能性があるそうです。

 

以下のサイトがわかりやすく説明されていました。

Windowsの重大なHTTP脆弱性により、ワームを使った攻撃が可能に

 

5月11日、MicrosoftはWebサーバーhttp.sysの非常に重大な脆弱性(CVE-2021-31166)について情報公開しました。この製品は、Windows専用のHTTPサーバーで、スタンドアロンまたはIIS(Internet Information Services)と連携して実行することができ、HTTPネットワークリクエストを介してインターネットトラフィックを仲介する目的で使用されます。この脆弱性は、2015年に報告された、HTTPネットワークスタックのもう1つのMicrosoft脆弱性であるCVE-2015-1635と非常によく似ています。

 

発表された脆弱性はCVSSスコアが9.8であり、直接的な影響を与える可能性があり、悪用も非常に簡単であるため、影響を受ける製品に対してリモートで認証されないサービス拒否(Blue Screen of Death)を引き起こす可能性があります。

 

この問題はHTTP要求を含むネットワークパケット内のオブジェクトを処理する際、Windowsがポインタを不適切に追跡することが原因で発生します。HTTP.SYSはカーネルドライバーとして実装されているため、このバグを悪用すると、少なくともBSoD(Blue Screen of Death)が発生し、最悪の場合、リモートコードが実行されてワームが発生する可能性があります。この脆弱性は、潜在的な影響と悪用のしやすさの点で例外的なものですが、効果的なコード実行が可能になるかどうかは、まだわかりません。さらに、この脆弱性はWindows10およびWindows Serverの最新バージョン(2004および20H2)にのみ影響します。これらのシステムの多くはこの欠陥の影響を受けにくいWindowsServer2016や2019などLTSC(Long Term Servicing Channel)バージョンを実行しているため、インターネットに接続するエンタープライズサーバーの公開はかなり制限されます。

 

 

続いてマイクロソフトのサイトです。

https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2021-31166

 

以下のパッチがでていますので、該当する場合は早めに適用したほうがいいですね。

 

2021年5月11日
Windows 10 Version 20H2 for ARM64-based Systems

2021年5月11日
Windows 10 Version 20H2 for 32-bit Systems

2021年5月11日
Windows 10 Version 20H2 for x64-based Systems

2021年5月11日
Windows Server, version 2004 (Server Core installation)

2021年5月11日
Windows 10 Version 2004 for x64-based Systems

2021年5月11日
Windows 10 Version 2004 for ARM64-based Systems

2021年5月11日
Windows 10 Version 2004 for 32-bit Systems