Rilevare la Vulnerabilità Wormable RCE (CVE-2021-31166) in Windows HTTP.sys
Indice:
Microsoft ha recentemente corretto un bug altamente critico (CVE-2021-31166), che consente l’esecuzione di codice remoto con diritti di kernel sulle macchine che eseguono Windows 10 e Windows Server. Il fornitore avverte che questa vulnerabilità è wormabile e potrebbe auto-propagarsi attraverso più server all’interno della rete organizzativa per causare il massimo danno. Il Proof of Concept (PoC) dell’exploit è già stato rilasciato, spingendo i criminali a strumentalizzare la vulnerabilità per attacchi in natura.
Descrizione CVE-2021-31166
Il problema risiede nello stack del protocollo HTTP (HTTP.sys), un’utilità importante che aiuta i server web di Windows Internet Information Services (IIS) a elaborare le richieste HTTP. In caso di sfruttamento, il difetto consente ad attori non autenticati di inviare pacchetti appositamente creati a un server vulnerabile e attivare l’esecuzione di codice arbitrario direttamente nel kernel del sistema operativo Windows. Inoltre, il bug potrebbe essere utilizzato per lanciare un attacco di negazione del servizio remoto non autenticato (DoS) causando la Blue Screen of Death sui dispositivi impattati. A peggiorare la situazione, CVE-2021-31166 è un bug wormabile che consente di creare worm di rete per propagarsi ad altri servizi inizialmente non esposti all’intrusione.
Il 15 maggio 2021, gli esperti di sicurezza Alex Souchet hanno rilasciato un proof of concept (PoC) dell’exploit per questo difetto. Sebbene manca l’implementazione delle funzioni di propagazione del worm in un PoC pubblico, mostra un modo semplice per bloccare un’installazione di Windows affetta in caso di un server IIS in esecuzione. Attualmente, non vi è alcuna evidenza che il problema HTTP.sys sia mai stato sfruttato in natura. Tuttavia, la presenza del PoC motiverebbe sicuramente gli avversari a sfruttare questa falla di sicurezza contro i server Windows IIS esposti.
L’unico fattore che in qualche modo limita le possibili conseguenze devastanti è che il bug esiste solo nelle versioni recenti di Windows, tra cui Windows 10 2004/20H2 e Windows Server 2004/20H2, rilasciate nell’ultimo anno.
Inizialmente, si pensava che la vulnerabilità interessasse solo macchine che eseguono server IIS, tuttavia i ricercatori Jim DeVries hanno scoperto che anche i servizi WinRM sono impattati. Poiché WinRM è abilitato di default su tutti i server Windows che eseguono le versioni 2004/20H2, attualmente molte reti aziendali sono esposte a intrusioni. out WinRM services are also being impacted. As WinRM is enabled by default on all Windows servers running versions 2004/20H2, multiple corporate networks are currently exposed to intrusion.
Rilevamento e mitigazione di CVE-2021-31166
The il bug è stato risolto da Microsoft durante il rilascio di Patch Tuesday per maggio 2021. Il fornitore esorta tutti gli utenti che eseguono installazioni vulnerabili a eseguire l’upgrade a una versione sicura il prima possibile.
Per proteggere l’infrastruttura della tua azienda da possibili attacchi alimentati da CVE-2021-31166, puoi scaricare una regola Sigma della comunità già rilasciata dal SOC Prime Team nel Threat Detection Marketplace:
https://tdm.socprime.com/tdm/info/TenAI7BkMasL/jHwCkHkBcFeKcPZncFIn/?p=1#sigma
La regola ha traduzioni per le seguenti piattaforme:
SIEM: Azure Sentinel, QRadar, Graylog, ELK Stack, Humio, FireEye
MITRE ATT&CK:
Tattiche: Impatto
Tecniche: Negazione di servizio di rete (T1498)
Iscriviti al Threat Detection Marketplace, una piattaforma leader mondiale per il Detection as Code che abilita tutto il flusso di lavoro CI/CD delle procedure di rilevamento. La nostra libreria di contenuti SOC aggrega oltre 100K algoritmi di rilevamento e query di threat hunting mappati direttamente su CVE e framework MITRE ATT&CK®. I rilevamenti sono basati sul linguaggio Sigma, assicurando che tutte le regole siano facilmente convertibili in 23 tecnologie leader del mercato in SIEM, EDR e NTDR per adattarsi allo stack XDR dell’organizzazione. Sei desideroso di partecipare ad attività di threat hunting e creare le tue regole Sigma? Unisciti al nostro Threat Bounty Program!
