Webサーバーhttp.sys 重大な脆弱性 CVE-2021-31166が発見されて、リモートで認証されないサービス拒否 Blue Screen of Deathを引き起こす可能性があるそうです。
以下のサイトがわかりやすく説明されていました。
Windowsの重大なHTTP脆弱性により、ワームを使った攻撃が可能に
5月11日、MicrosoftはWebサーバーhttp.sysの非常に重大な脆弱性(CVE-2021-31166)について情報公開しました。この製品は、Windows専用のHTTPサーバーで、スタンドアロンまたはIIS(Internet Information Services)と連携して実行することができ、HTTPネットワークリクエストを介してインターネットトラフィックを仲介する目的で使用されます。この脆弱性は、2015年に報告された、HTTPネットワークスタックのもう1つのMicrosoftの脆弱性であるCVE-2015-1635と非常によく似ています。
発表された脆弱性はCVSSスコアが9.8であり、直接的な影響を与える可能性があり、悪用も非常に簡単であるため、影響を受ける製品に対してリモートで認証されないサービス拒否(Blue Screen of Death)を引き起こす可能性があります。
この問題はHTTP要求を含むネットワークパケット内のオブジェクトを処理する際、Windowsがポインタを不適切に追跡することが原因で発生します。HTTP.SYSはカーネルドライバーとして実装されているため、このバグを悪用すると、少なくともBSoD(Blue Screen of Death)が発生し、最悪の場合、リモートコードが実行されてワームが発生する可能性があります。この脆弱性は、潜在的な影響と悪用のしやすさの点で例外的なものですが、効果的なコード実行が可能になるかどうかは、まだわかりません。さらに、この脆弱性はWindows10およびWindows Serverの最新バージョン(2004および20H2)にのみ影響します。これらのシステムの多くはこの欠陥の影響を受けにくいWindowsServer2016や2019などLTSC(Long Term Servicing Channel)バージョンを実行しているため、インターネットに接続するエンタープライズサーバーの公開はかなり制限されます。
続いてマイクロソフトのサイトです。
https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2021-31166
以下のパッチがでていますので、該当する場合は早めに適用したほうがいいですね。
2021年5月11日
Windows 10 Version 20H2 for ARM64-based Systems
2021年5月11日
Windows 10 Version 20H2 for 32-bit Systems
2021年5月11日
Windows 10 Version 20H2 for x64-based Systems
2021年5月11日
Windows Server, version 2004 (Server Core installation)
2021年5月11日
Windows 10 Version 2004 for x64-based Systems
2021年5月11日
Windows 10 Version 2004 for ARM64-based Systems
2021年5月11日
Windows 10 Version 2004 for 32-bit Systems