Microsoft: Yeni Kritik Windows HTTP Güvenlik Açığı Solucan Olabilir
Microsoft, solucan olabilir olarak etiketlenen ve Windows 11 ve Windows Server 2022 dahil olmak üzere en son masaüstü ve sunucu Windows sürümlerini etkilediği tespit edilen kritik bir kusuru yamaladı.
CVE-2022-21907 olarak izlenen ve bu ayın Salı Yaması sırasında yamalanan hata, Windows Internet Information Services (IIS) web sunucusu tarafından HTTP isteklerini işlemek için bir protokol dinleyicisi olarak kullanılan HTTP Protokol Yığınında (HTTP.sys) keşfedildi.
Başarılı bir istismar, tehdit aktörlerinin, paketleri işlemek için savunmasız HTTP Protokol Yığınını kullanan hedeflenen Windows sunucularına kötü amaçlarla hazırlanmış paketler göndermesini gerektirir.
Microsoft, kimliği doğrulanmamış saldırganların düşük karmaşıklıktaki saldırılarda ve "çoğu durumda" kullanıcı etkileşimi gerektirmeden uzaktan rastgele kod yürütmesine izin verebileceğinden, kullanıcıların bu kusuru etkilenen tüm sunucularda düzeltmeye öncelik vermelerini önerir.
Azaltma mevcut (bazı Windows sürümleri için)
Neyse ki, kusur şu anda aktif sömürü altında değil ve kamuya açıklanmış kavram istismarlarının kanıtı yok.
Ayrıca, bazı Windows sürümlerinde (yani, Windows Server 2019 ve Windows 10 sürüm 1809), hatayı içeren HTTP Fragmanı Desteği özelliği varsayılan olarak etkin değildir.
Microsoft'a göre, güvenlik açığını ortaya çıkarmak için bu iki Windows sürümünde aşağıdaki Windows kayıt defteri anahtarının yapılandırılması gerekiyor:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters\"EnableTrailerSupport"=dword:00000001
HTTP Fragman Desteği özelliğinin devre dışı bırakılması, iki sürümü çalıştıran sistemleri korur, ancak bu azaltma, etkilenen diğer Windows sürümleri için geçerli değildir.
Potansiyel hedefler muhtemelen saldırılara karşı güvende
Ev kullanıcıları bugünün güvenlik güncellemelerini henüz uygulamamış olsa da, çoğu şirket, en son yayınlanan Windows sürümlerini yaygın olarak çalıştırmadıkları için büyük olasılıkla CVE-2022-21907 açıklarından korunacaktır.
Son iki yılda Microsoft, Windows DNS Sunucusunu (SIGRed olarak da bilinir), Uzak Masaüstü Hizmetleri (RDS) platformunu (diğer adıyla BlueKeep ) ve Sunucu İleti Bloğu v3 protokolünü (diğer adıyla SMBGhost) etkileyen diğer birçok solucana neden olabilen hatayı yamaladı.
Redmond ayrıca Mayıs 2021'de (CVE-2021-31166 olarak izlendi ve ayrıca solucan olarak etiketlendi) başka bir Windows HTTP RCE güvenlik açığını da ele aldı, bunun için güvenlik araştırmacıları mavi ölüm ekranlarını tetikleyebilecek demo yararlanma kodu yayınladı.
Bununla birlikte, tehdit aktörleri, savunmasız Windows yazılımı çalıştıran savunmasız sistemler arasında yayılabilen, solucanlanabilir kötü amaçlı yazılımlar oluşturmak için henüz bunlardan yararlanmadılar.
Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.