Détecter la vulnérabilité RCE vermifuge (CVE-2021-31166) dans Windows HTTP.sys
Table des matières :
Microsoft a récemment corrigé un bug hautement critique (CVE-2021-31166), qui permet l’exécution de code à distance avec des droits de noyau sur les machines exécutant Windows 10 et Windows Server. Le fournisseur avertit que cette faille est auto-réplicable et pourrait se propager automatiquement à travers plusieurs serveurs au sein du réseau organisationnel pour causer un maximum de dégâts. Le Proof of Concept (PoC) de l’exploit a déjà été publié, incitant les criminels à militariser la vulnérabilité pour des attaques dans la nature.
Description de CVE-2021-31166
Le problème réside dans le HTTP Protocol Stack (HTTP.sys), une utilité importante qui aide les serveurs web Windows Internet Information Services (IIS) à traiter les requêtes HTTP. En cas d’exploitation, la faille permet à des acteurs non authentifiés d’envoyer des paquets spécialement conçus à un serveur vulnérable et de déclencher l’exécution de code arbitraire directement dans le noyau du système d’exploitation Windows. De plus, le bug pourrait être exploité pour lancer une attaque de déni de service (DoS) à distance non authentifiée provoquant un Blue Screen of Death sur les appareils impactés. Pour aggraver les choses, CVE-2021-31166 est un bug auto-réplicable qui permet de créer des vers réseaux pour se propager à travers d’autres services initialement non exposés à l’intrusion.
Le 15 mai 2021, les experts en sécurité Alex Souchet ont publié un proof of concept (PoC) de l’exploit pour cette faille. Bien qu’un PoC public manque des fonctions de reproduction, il montre une manière simple de bloquer une installation Windows affectée dans le cas où un serveur IIS est en cours d’exécution. Actuellement, il n’y a aucune preuve que le problème HTTP.sys ait jamais été exploité dans la nature. Cependant, la présence du PoC inciterait certainement les adversaires à exploiter cette faille de sécurité contre les serveurs Windows IIS exposés.
Le seul facteur qui limite d’une certaine manière les conséquences dévastatrices possibles est que le bug n’existe que dans les versions récentes de Windows, y compris Windows 10 2004/20H2 et Windows Server 2004/20H2, qui ont été publiées au cours de l’année passée.
Au départ, il était considéré que la faille n’affecte que les machines exécutant des serveurs IIS, cependant, les chercheurs Jim DeVries ont découvert out que les services WinRM sont également impactés. Étant donné que WinRM est activé par défaut sur tous les serveurs Windows exécutant les versions 2004/20H2, de nombreux réseaux d’entreprise sont actuellement exposés à l’intrusion.
Détection et Atténuation de CVE-2021-31166
The le bug a été traité par Microsoft durant sa publication Patch Tuesday de mai 2021. Le fournisseur exhorte tous les utilisateurs exécutant des installations vulnérables à mettre à jour vers une version sécurisée dès que possible.
Pour protéger l’infrastructure de votre entreprise contre les attaques potentielles alimentées par CVE-2021-31166, vous pouvez télécharger une règle Sigma communautaire déjà publiée par l’équipe SOC Prime dans le Threat Detection Marketplace :
https://tdm.socprime.com/tdm/info/TenAI7BkMasL/jHwCkHkBcFeKcPZncFIn/?p=1#sigma
La règle a des traductions pour les plateformes suivantes :
SIEM : Azure Sentinel, QRadar, Graylog, ELK Stack, Humio, FireEye
MITRE ATT&CK :
Tactiques : Impact
Techniques : Den ni de service réseau (T1498)
Abonnez-vous au Threat Detection Marketplace, une plateforme leader mondiale de Detection as Code qui permet le workflow complet CI/CD des procédures de détection. Notre bibliothèque de contenu SOC agrège plus de 100K algorithmes de détection et requêtes de chasse aux menaces mappés directement sur les frameworks CVE et MITRE ATT&CK®. Les détections sont basées sur le langage Sigma, assurant que toutes les règles sont facilement convertibles en 23 technologies SIEM, EDR et NTDR leaders du marché pour correspondre à la pile XDR de l’organisation. Envie de participer à des activités de chasse aux menaces et de créer vos propres règles Sigma ? Rejoignez notre programme de récompense des menaces !
