Windows HTTP协议栈远程代码执行漏洞风险通告 (已复现)

风险通告

近日，奇安信CERT监测到微软官方公开并修复了Microsoft Windows HTTP 协议栈远程代码执行漏洞（CVE-2022-21907），未经身份认证的远程攻击者可通过向目标 Web 服务器发送特制的HTTP请求来利用此漏洞，从而在目标系统上执行任意代码。利用此漏洞不需要身份认证和用户交互，微软官方将其标记为蠕虫漏洞，并建议优先修补受此漏洞影响的服务器。奇安信CERT已复现此漏洞的拒绝服务场景，可导致目标主机崩溃。

目前官方已发布修复补丁，鉴于此漏洞危害极大，奇安信CERT强烈建议客户尽快自查服务器的安全状况并更新补丁。

当前漏洞状态

漏洞描述

Microsoft Windows HTTP 协议栈（HTTP.sys）是一个位于Windows操作系统中核心组件，常见于应用之间或设备之间通信，以及Internet Information Services (IIS)中。

近日，奇安信CERT监测到微软官方公开并修复了Microsoft Windows HTTP 协议栈远程代码执行漏洞（CVE-2022-21907），未经身份认证的远程攻击者可通过向目标 Web 服务器发送特制的HTTP请求来利用此漏洞，从而在目标系统上执行任意代码。利用此漏洞不需要身份认证和用户交互，微软官方将其标记为蠕虫漏洞，并建议优先修补受此漏洞影响的服务器。奇安信CERT已复现此漏洞的拒绝服务场景，可导致目标主机崩溃。

目前官方已发布修复补丁，由于此漏洞危害极大，奇安信CERT强烈建议客户尽快修复漏洞并自查服务器的安全状况。

1、CVE-2022-21907 Microsoft Windows HTTP 协议栈远程代码执行漏洞

奇安信CERT已复现Microsoft Windows HTTP 协议栈远程代码执行漏洞（CVE-2022-21907），复现截图如下：

风险等级

奇安信 CERT风险评级为：极危

风险等级：蓝色（一般事件）

处置建议

使用奇安信天擎的客户可以通过奇安信天擎控制台一键更新修补相关漏洞，也可以通过奇安信天擎客户端一键更新修补相关漏洞。

也可以采用以下官方解决方案及缓解方案来防护此漏洞：

Windows自动更新

Windows系统默认启用Microsoft Update，当检测到可用更新时，将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新：

1、点击“开始菜单”或按Windows快捷键，点击进入“设置”

2、选择“更新和安全”，进入“Windows更新”（Windows8、Windows 8.1、WindowsServer 2012以及Windows Server2012 R2可通过控制面板进入“Windows更新”，步骤为“控制面板”->“系统和安全”->“Windows更新”）

3、选择“检查更新”，等待系统将自动检查并下载可用更新

4、重启计算机，安装更新

系统重新启动后，可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新，可以点击该更新名称进入微软官方更新描述链接，点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”，然后在新链接中选择适用于目标系统的补丁进行下载并安装。

手动安装补丁

可参考以下链接安装相应版本的补丁程序来修复此漏洞：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21907

参考资料

[1] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21907

时间线

2022年1月13日，奇安信 CERT发布安全风险通告

声明：本文来自奇安信 CERT，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。