Windows HTTP.sysにおけるワーム可能なRCE脆弱性(CVE-2021-31166)の検出

[post-views]
5月 24, 2021 · 6 分で読めます
Windows HTTP.sysにおけるワーム可能なRCE脆弱性(CVE-2021-31166)の検出

Microsoftは最近、Windows 10およびWindows Serverを実行しているマシンでカーネル権限でリモートコード実行を可能にする重大なバグ(CVE-2021-31166)を修正しました。この欠陥はワーム化可能であり、組織ネットワーク内の複数のサーバに自己伝播して最大の被害を引き起こす可能性があるとメーカーは警告しています。Proof of Concept(PoC)エクスプロイトはすでにリリースされ、犯罪者が脆弱性を悪用して実地攻撃する可能性があります。

CVE-2021-31166 説明

この問題は、Windows Internet Information Services(IIS)ウェブサーバがHTTPリクエストを処理するのを助ける重要なユーティリティであるHTTPプロトコルスタック(HTTP.sys)にあります。悪用された場合、この欠陥により認証されていない攻撃者が特別に作成されたパケットを脆弱なサーバに送信し、Windows OSカーネルで直接任意のコードを実行することが可能になります。さらに、このバグはリモートの認証されていないサービス拒否(DoS)攻撃を発動し、影響を受けたデバイスでブルースクリーン・オブ・デスを引き起こすために利用される可能性があります。さらにひどいことに、CVE-2021-31166はワーム化可能なバグであり、最初に侵入されなかった他のサービスに感染を広げるためにネットワークワームを作成することが可能です。

2021年5月15日、セキュリティ専門家のAlex Souchet は、Proof of Concept (PoC)エクスプロイトを この欠陥のためにリリースしました。公開されたPoCにはワーム機能が欠けていますが、IISサーバを実行している場合に影響を受けたWindowsインストールをブロックする簡単な方法を示しています。現在、HTTP.sysの問題が実地で悪用された証拠はありません。しかし、PoCの存在は間違いなく敵対者を誘引し、このセキュリティホールを露出されたWindows IISサーバに対して使用する可能性があります。

可能な破壊的影響を何とかして制限する唯一の要因は、このバグが最近のWindowsバージョン、Windows 10 2004/20H2およびWindows Server 2004/20H2に存在するだけであり、これらは過去1年にリリースされたものです。

当初、この欠陥はIISサーバを実行しているマシンにのみ影響すると思われていましたが、研究者Jim DeVries は、WinRMサービスも影響を受けていると発見しました。WinRMはデフォルトでバージョン2004/20H2を実行しているすべてのWindowsサーバで有効になっているため、多くの企業ネットワークが現在、侵入にさらされています。 out WinRM services are also being impacted. As WinRM is enabled by default on all Windows servers running versions 2004/20H2, multiple corporate networks are currently exposed to intrusion.

CVE-2021-31166 検出及び対策

The このバグは、 Microsoft による2021年5月のPatch Tuesdayリリースで修正されました。ベンダーは、脆弱なインストールを実行しているすべてのユーザーに対してできるだけ早く安全なバージョンにアップグレードすることを強く推奨しています。

CVE-2021-31166で強化される可能性のある攻撃から会社のインフラを保護するには、Threat Detection MarketplaceでSOC PrimeチームによってすでにリリースされているコミュニティSigmaルールをダウンロードすることができます:

https://tdm.socprime.com/tdm/info/TenAI7BkMasL/jHwCkHkBcFeKcPZncFIn/?p=1#sigma

このルールは次のプラットフォームに翻訳されています:

SIEM: Azure Sentinel, QRadar, Graylog, ELK Stack, Humio, FireEye

MITRE ATT&CK: 

戦術: インパクト

技術: ネットワークによるサービス拒否(T1498)

Detection as CodeプラットフォームであるThreat Detection Marketplaceに登録し、完全なCI/CDワークフローを実現する検出手続きを利用しましょう。我々のSOCコンテンツライブラリは、CVEおよびMITRE ATT&CK®フレームワークに直接マッピングされた10万以上の検出アルゴリズムと脅威ハンティングクエリを集約しています。この検出はSigma言語に基づいており、すべてのルールは市場をリードする23のSIEM、EDR、NTDR技術に簡単に変換可能で、組織のXDRスタックにマッチします。脅威ハンティング活動に参加し、独自のSigmaルールを作成したいですか?我々のThreat Bountyプログラムに参加しましょう!

プラットフォームに移動 Threat Bountyに参加

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

CVE-2025-8088 検出: WinRARゼロデイがロムコムマルウェアをインストールするために野放しに活動している 8 分で読めます 最新の脅威 CVE-2025-8088 検出: WinRARゼロデイがロムコムマルウェアをインストールするために野放しに活動している by Daryna Olyniychuk CVE-2025-6558:Google Chromeゼロデイ脆弱性、実際の攻撃で悪用中 6 分で読めます 最新の脅威 CVE-2025-6558:Google Chromeゼロデイ脆弱性、実際の攻撃で悪用中 by Daryna Olyniychuk CVE-2025-25257:FortiWebの重大なSQLインジェクション脆弱性により、認証不要のリモートコード実行が可能に 6 分で読めます 最新の脅威 CVE-2025-25257:FortiWebの重大なSQLインジェクション脆弱性により、認証不要のリモートコード実行が可能に by Veronika Telychko
すべてのニュース