マイクロソフトは、Windows 11やWindows Server 2022など、最新のデスクトップおよびサーバーWindowsのバージョンに影響を及ぼすことが判明したワーム性のタグが付けられた重大な脆弱性に対するパッチをリリースしたことを発表しました。
多くの場合、認証されていない攻撃者は、HTTPプロトコルスタック(http.sys)を使用してパケットを処理する標的のサーバーに、特別に細工したパケットを送信することができます。
このバグは、CVE-2022-21907として追跡され、今月のPatch Tuesdayでパッチが適用されました。
この脆弱性を悪用するには、攻撃者がパケット処理に脆弱なHTTPプロトコルスタックを使用している標的のWindowsサーバに悪意を持って細工したパケットを送信する必要があります。
マイクロソフトは、この欠陥により認証されていない攻撃者が複雑度の低い攻撃でユーザーの操作を必要とせず「ほとんどの状況で」リモートから任意のコードを実行できる可能性があるため、影響を受けるすべてのサーバーに優先的にパッチを適用することをユーザーに推奨しています。
対応策(Windowsの一部バージョン)
幸いなことに、現在、この欠陥は活発に悪用されておらず、公に公開された概念実証済みの悪用法もありません。
さらに、一部のWindowsバージョン(Windows Server 2019やWindows 10 バージョン1809など)では、本不具合を含むHTTP Trailer Support機能がデフォルトで有効になっていません。
Windows Server 2019およびWindows 10 バージョン1809では、本脆弱性を含むHTTP Trailer Support機能はデフォルトでアクティブではありません。脆弱性のある状態を導入するためには、以下のレジストリキーを設定する必要があります。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters\ "EnableTrailerSupport"=dword:00000001
HTTP Trailer Support機能を無効にすることで、この2つのバージョンを実行しているシステムを保護できますが、この緩和策は影響を受ける他のWindowsリリースには適用されません。
潜在的なターゲットは攻撃から安全である可能性が高い
ほとんどの企業は、一般的にリリースされた最新のWindowsバージョンを実行しないことからCVE-2022-21907エクスプロイトから保護される可能性が高いと思われます。
この2年間で、マイクロソフトはWindows DNSサーバー(別名SIGRed)、リモートデスクトップサービス(RDS)プラットフォーム(別名BlueKeep)、サーバーメッセージブロックv3プロトコル(別名SMBGhost)に影響を与える、他のいくつかのワーム性のバグをパッチしてきました。
2021年5月にもWindows HTTP RCEの脆弱性(CVE-2021-31166として追跡され、ワーム可能のタグも付けられている)に対処しており、セキュリティ研究者はブルースクリーンオブデスを誘発するデモのエクスプロイトコードを公開しています。
Comments