Microsoft, solucan olabilir olarak etiketlenen ve Windows 11 ve Windows Server 2022 dahil olmak üzere en son masaüstü ve sunucu Windows sürümlerini etkilediği tespit edilen kritik bir kusuru yamaladı.
olarak izlenen hata CVE-2022-21907 ve sırasında yamalı bu ayın Yaması Salı, Windows Internet Information Services (IIS) web sunucusu tarafından HTTP isteklerini işlemek için bir protokol dinleyicisi olarak kullanılan HTTP Protokol Yığınında (HTTP.sys) keşfedildi.
Başarılı bir istismar, tehdit aktörlerinin, paketleri işlemek için savunmasız HTTP Protokol Yığınını kullanan hedeflenen Windows sunucularına kötü amaçlarla hazırlanmış paketler göndermesini gerektirir.
Microsoft kullanıcıların yamaya öncelik vermesini önerir Bu kusur, kimliği doğrulanmamış saldırganların düşük karmaşıklıktaki saldırılarda ve “çoğu durumda” kullanıcı etkileşimi gerektirmeden uzaktan rastgele kod yürütmesine izin verebileceğinden, etkilenen tüm sunucularda bulunur.
Azaltma mevcut (bazı Windows sürümleri için)
Neyse ki, kusur şu anda aktif sömürü altında değil ve kamuya açıklanmış kavram istismarlarının kanıtı yok.
Ayrıca, bazı Windows sürümlerinde (yani, Windows Server 2019 ve Windows 10 sürüm 1809), hatayı içeren HTTP Fragmanı Desteği özelliği varsayılan olarak etkin değildir.
Microsoft’a göre, güvenlik açığını ortaya çıkarmak için bu iki Windows sürümünde aşağıdaki Windows kayıt defteri anahtarının yapılandırılması gerekiyor:
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesHTTPParameters
"EnableTrailerSupport"=dword:00000001
HTTP Fragman Desteği özelliğinin devre dışı bırakılması, iki sürümü çalıştıran sistemleri korur, ancak bu azaltma, etkilenen diğer Windows sürümleri için geçerli değildir.
Potansiyel hedefler muhtemelen saldırılara karşı güvende
Ev kullanıcıları henüz bugünün güvenlik güncellemelerini uygulamamış olsa da, çoğu şirket, en son yayınlanan Windows sürümlerini yaygın olarak çalıştırmadıkları için büyük olasılıkla CVE-2022-21907 açıklarından korunacaktır.
Son iki yılda Microsoft, Windows DNS Sunucusunu (olarak da bilinen SIGRed), Uzak Masaüstü Hizmetleri (RDS) platformu (aka BlueKeep) ve Sunucu İleti Bloğu v3 protokolü (aka SMBGhost).
Redmond, Mayıs 2021’de başka bir Windows HTTP RCE güvenlik açığını da ele aldı (CVE-2021-31166 ve ayrıca solucan olarak etiketlendi), hangi güvenlik araştırmacıları için yayınlanan demo istismar kodu Bu, mavi ölüm ekranlarını tetikleyebilir.
Bununla birlikte, tehdit aktörleri, savunmasız Windows yazılımı çalıştıran savunmasız sistemler arasında yayılabilen, solucanlanabilir kötü amaçlı yazılımlar oluşturmak için henüz bunlardan yararlanmadılar.