Microsoft har åtgärdat en kritisk sårbarhet i de senaste Windows 10-hem- och serverversionerna, vilket leder till attacker med fjärrkörning av kod om den utnyttjas. Sårbarheten är specifik för HTTP Protocol Stack in Information Services (IIS) webbserver, som används för att behandla HTTP-förfrågningar. Dessutom släpptes en demo proof-of-concept-kod för detta av en säkerhetsforskare.
HTTP-sårbarhet i Windows 10
Fjärrkörning av kod är ett utnyttjande där en angripare utnyttjar en känd sårbarhet i programvaran och exekverar godtycklig kod för att köra skadliga uppgifter i offrets dator. Detta åtgärdas ofta genom att leverantörerna driver programvarukorrigeringar, och det är användarnas skyldighet att tillämpa dem närhelst de görs tillgängliga.
Microsoft släppte en sådan patch i månadens kumulativa uppdatering av Windows 10, som säkrar HTTP-sårbarheten (spåras som CVE-2021-31166) som påverkar Windows 10 2004/20H2 och Windows Server version 2004/20H2. Forskare sa att denna sårbarhet kan tillåta en angripare att bearbeta en fjärrkörning av kod om den utnyttjas.
Problemet gäller särskilt HTTP Protocol Stack (HTTP.sys) som används av Windows Internet Information Services (IIS) webbserver, som behandlar HTTP-förfrågningar genom att vara en protokollavlyssnare. Efter att Microsoft släppt en patch för detta, Axel Soucheten säkerhetsforskare, släppt en demo proof-of-concept-kod för denna sårbarhet som inte kan spridas automatiskt mellan de anslutna systemen.
Jag har byggt en PoC för CVE-2021-31166 “HTTP Protocol Stack Remote Code Execution Vulnerability”: https://t.co/8mqLCByvCp ???????? pic.twitter.com/yzgUs2CQO5
— Axel Souchet (@0vercl0k) 16 maj 2021
Även om hotet i sig är begränsat till en dator, kan det tömma systemet för att gå Blue Screen of Death (BSOD) om det utnyttjas. Han förklarade det som,
Eftersom det är tillräckligt kritiskt och kan utnyttjas med demo PoC-koder i det vilda, rekommenderar Microsoft starkt att användare uppdaterar sina Windows 10-system till den senaste versionen för att skydda sig själva.