Webサーバーhttp.sys 重大な脆弱性 CVE-2021-31166 リモートで認証されないサービス拒否 Blue Screen of Death

Webサーバーhttp.sys 重大な脆弱性 CVE-2021-31166が発見されて、リモートで認証されないサービス拒否 Blue Screen of Deathを引き起こす可能性があるそうです。

以下のサイトがわかりやすく説明されていました。

5月11日、MicrosoftはWebサーバーhttp.sysの非常に重大な脆弱性（CVE-2021-31166）について情報公開しました。この製品は、Windows専用のHTTPサーバーで、スタンドアロンまたはIIS（Internet Information Services）と連携して実行することができ、HTTPネットワークリクエストを介してインターネットトラフィックを仲介する目的で使用されます。この脆弱性は、2015年に報告された、HTTPネットワークスタックのもう1つのMicrosoftの脆弱性であるCVE-2015-1635と非常によく似ています。

発表された脆弱性はCVSSスコアが9.8であり、直接的な影響を与える可能性があり、悪用も非常に簡単であるため、影響を受ける製品に対してリモートで認証されないサービス拒否（Blue Screen of Death）を引き起こす可能性があります。

この問題はHTTP要求を含むネットワークパケット内のオブジェクトを処理する際、Windowsがポインタを不適切に追跡することが原因で発生します。HTTP.SYSはカーネルドライバーとして実装されているため、このバグを悪用すると、少なくともBSoD（Blue Screen of Death）が発生し、最悪の場合、リモートコードが実行されてワームが発生する可能性があります。この脆弱性は、潜在的な影響と悪用のしやすさの点で例外的なものですが、効果的なコード実行が可能になるかどうかは、まだわかりません。さらに、この脆弱性はWindows10およびWindows Serverの最新バージョン（2004および20H2）にのみ影響します。これらのシステムの多くはこの欠陥の影響を受けにくいWindowsServer2016や2019などLTSC（Long Term Servicing Channel）バージョンを実行しているため、インターネットに接続するエンタープライズサーバーの公開はかなり制限されます。