Exploit für http-sys-Schwachstelle CVE-2021-31166 in Windows verfügbar, patchen!

Publiziert am 19. Mai 2021 von Günter Born

Windows[English]Noch ein kleiner Sicherheitshinweis für Administratoren von Windows-Systemen, die die Mai 2021-Sicherheitsupdates noch nicht installiert haben oder wegen Problemen deinstallieren musste. Mit den Updates vom 11. Mai 2021 wurde die http-sys-Schwachstelle CVE-2021-31166 geschlossen. Seit dem Wochenende ist nun ein Exploit zum Ausnutzen der Schwachstelle verfügbar. Dieser löst einen BlueScreen auf der Windows Zielmaschine aus. Ich gehe davon aus, dass es demnächst Remote-Angriffe auf die Schwachstelle geben könnte.

Anzeige

Die http-sys-Schwachstelle CVE-2021-31166

Bei CVE-2021-31166 handelt es sich um eine HTTP Protocol Stack Remote Code Execution (RCE)-Schwachstelle durch einen Speicherüberlauf, die aus der Ferne über ein Netzwerk bzw. per Internet ausnutzbar ist. In den meisten Szenarien, schreibt Microsoft, könnte ein nicht authentifizierter Angreifer ein speziell gestaltetes Paket per Netzwerk/Internet an einen Zielserver senden, der den HTTP-Protokollstapel (http.sys) zur Verarbeitung von Paketen verwendet. Das ermöglicht eine Remote-Code-Ausführung (RCE) auf dem Zielsystem oder schickt die Maschine zumindest in einen Bluescreen.

Aber noch schlimmer: Über die Schwachstelle könnte sich (laut Microsoft) entsprechende Schadsoftware wurmartig im Netzwerk verbreiten,. Daher wurde der Schwachstelle ein CVE-Wert von 9.8 (max. ist 10) zugeordnet. Microsoft empfiehlt, die betroffenen Server vorrangig zu patchen, denn die Sicherheitsupdates vom 11. Mai 2021 schließen diese Schwachstelle auf unterstützten Windows-Systemen (siehe Patchday: Windows 10-Updates (11. Mai 2021)). Bedroht sind Windows 10 2004, Windows 10 20H2 und Windows Server 20H2.

Exploit öffentlich verfügbar

Zum Wochenende hat der Ex-Microsoftler und heutige Sicherheitsforscher Axel Souchet einen funktionierenden Exploit veröffentlicht, auf den ich über nachfolgenden Tweet aufmerksam wurde.

Exploit for CVE-2021-31166 in Windows

Hier der betreffende Tweet von Axel Souchet – der Exploit wurde auf GitHub öffentlich abrufbar hinterlegt. Dieser löst bei den betreffenden Maschinen einen BlueScreen aus.

PoC for CVE-2021-31166

Die Verfügbarkeit des Proof-of-Concept-Code ist in der Regel der erste Schritt für Angreifer, mit diesem Angriff zu experimentieren. Irgendwann gibt es dann einen funktionierenden Exploit für eine Remote Code-Ausführung (RCE). Catalin Cimpanu hat die Details hier veröffentlicht. Er schreibt: Auch wenn die Anzahl der verwundbaren Windows IIS-Server gering sein mag, wird dies die Angreifer nicht abschrecken, Exploits zu entwickeln. Also heißt es patchen.

Ergänzung: Alle ungepatchten Systeme mit Windows 10/Server ab Version 2004 und aktiviertem WinRM sind auch anfällig – siehe http-sys Schwachstelle (CVE-2021-31166) bedroht auch WinRM-Dienst.

Anzeige
Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit, Update, Windows 10, Windows Server abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Exploit für http-sys-Schwachstelle CVE-2021-31166 in Windows verfügbar, patchen!

  1. microsoftsoftwarequalitaets-opfer sagt:
    19. Mai 2021 um 14:03 Uhr

    webserver exploit only via http.sys

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.