セキュリティ研究者によってワーム化可能なWindows IISサーバーの脆弱性を攻撃するエクスプロイトコード(POC)が公開されました。
CVE-2021-31166としてトラックされているこの脆弱性はマイクロソフトの内部で発見され、2021年5月のパッチチューズデーでパッチがリリースされています。
このセキュリティアップデートを確認した複数のセキュリティ研究者およびセキュリティ企業は、このバグをマイクロソフトが2021年5月のパッチサイクルで修正した最も危険な脆弱性とみなしています。
CVSSv3スケールで10点満点中9.8点の深刻度評価を受けたこのバグは、最近のWindowsバージョンに搭載されているHTTPプロトコルスタックにメモリ破壊の脆弱性が存在します。
このプロトコルスタックはWindowsに組み込まれたIISサーバーによって使用され、サーバーで有効になっている場合、攻撃者は不正なパケットを送信しOSのカーネル上で悪意のあるコードを実行することができます。
マイクロソフト社はセキュリティ報告レポートで、このバグによってサーバーからサーバーへ飛び移るネットワークワームの作成に使われる可能性があるとし、「影響を受けたサーバーへのパッチ適用を優先すること」を推奨しています。
しかし、このバグは非常に危険なもののようですがいくつかの緩和要因もあります。1つ目は最近のバージョンのWindowsのみが影響を受けることです。
これには、Windows 10 2004と20H2、Windows Server 2004と20H2が含まれ、基本的には昨年リリースされたWindows 10とWindows ServerのOSバージョンが対象となり本番環境に広く導入されている可能性は極めて低いとされています。
HTTP プロトコルスタックのリモートコード実行の脆弱性 – CVE-2021-31166。ワーム、RCE、HTTP プロトコル IIS サービス、CVSS 9.8 > パニック!でも影響を受けるシステムのリストを見て、急に落ち着き始めた。
元マイクロソフトのエンジニアで現在はセキュリティ研究者のAxel Souchetが、CVE-2021-31166を悪用するための概念実証コードをGithubに公開しました。
このコードにはワームの機能は含まれておらずIISサーバーを実行しているパッチの当たっていないWindowsシステムをクラッシュさせるだけのものです。しかし、概念実証コード(POC)の公開は、一般的に攻撃者がこの攻撃を実験するための最初の一歩となります。
CVE-2021-31166「HTTPプロトコルスタックのリモートコード実行の脆弱性」のPoCを構築しました。
たとえ脆弱なWindows IISサーバーの数が少なくても攻撃者は手に入るものは何でも手に入れようとするものですからそれを阻止することはできません。
マイクロソフトは、顧客がシステムにパッチを当てることを推奨しており、特にマイクロソフト自身はこの種の脆弱性に非常に敏感です。
2019年6月には、脅威行為者がEximの脆弱性を武器にしてワームを作成し同社のLinuxベースのAzureクラウドサーバーで拡散した事件も存在します。
マイクロソフトは、同社のAzureインフラストラクチャ上のIISサーバーにパッチを適用した可能性が高いですが、他のクラウドプロバイダーや企業ネットワークではこの脆弱性を持ったサーバーがまだ稼働している可能性が高いと考えられています。
Comments