Windows HTTP.sys의 Wormable RCE 취약점 (CVE-2021-31166) 탐지

Microsoft는 최근 Windows 10 및 Windows Server를 실행하는 기계에서 커널 권한을 가진 원격 코드 실행을 가능하게 하는 매우 심각한 버그(CVE-2021-31166)를 수정했습니다. 공급업체는 이 결함이 웜 가능성이 있으며 조직 네트워크 내 여러 서버 전반에 걸쳐 스스로 전파되어 최대 피해를 줄 수 있다고 경고합니다. 이미 개념 증명(PoC) 익스플로잇이 공개되어 범죄자들이 야생에서 공격을 위해 취약점을 무기화하도록 자극하고 있습니다.

CVE-2021-31166 설명

이 문제는 HTTP 프로토콜 스택(HTTP.sys)에 존재하는데, 이는 Windows 인터넷 정보 서비스(IIS) 웹 서버가 HTTP 요청을 처리하는 데 도움을 주는 중요한 유틸리티입니다. 취약점이 악용될 경우, 인증되지 않은 공격자들이 특별히 조작된 패킷을 취약한 서버로 보내 Windows OS 커널에서 직접 임의의 코드 실행을 유발할 수 있습니다. 더 나아가, 이 버그는 영향을 받은 장치에 블루 스크린 오류를 일으키는 원격 인증되지 않은 서비스 거부(DoS) 공격을 시작하는데도 활용될 수 있습니다. 상황을 더욱 악화시키는 것은 CVE-2021-31166가 웜 가능한 버그로 다른 서비스에 단 초기 노출되지 않은 기기들에 전파할 수 있는 네트워크 웜을 생성할 수 있다는 점입니다.

2021년 5월 15일, 보안 전문가 Alex Souchet 개념 증명(PoC) 에 대한 익스플로잇을 발표했습니다. 이 결함에 대한 공개 PoC는 웜 기능은 부족하지만, IIS 서버를 실행 중인 경우 영향을 받는 Windows 설치를 쉽게 차단하는 방법을 보여줍니다. 현재는 HTTP.sys 문제가 야생에서 악용된 증거가 없습니다. 하지만 PoC의 존재는 적들이 노출된 Windows IIS 서버를 대상으로 이 보안 허점을 활용하도록 확실히 동기를 부여할 것입니다.

가능한 파괴적 결과를 어느 정도 제한하는 유일한 요인은 이 버그가 작년 출시된 Windows 10 2004/20H2 및 Windows Server 2004/20H2 등의 최신 Windows 버전에만 존재한다는 것입니다.

처음에는 이 결함이 IIS 서버를 실행하는 기기에만 영향을 미치는 것으로 여겨졌으나, 연구원 Jim DeVries 는 out WinRM 서비스 또한 영향을 받고 있음을 발견했습니다.

CVE-2021-31166 탐지 및 완화

The 버그는 Microsoft 의 2021년 5월 Patch Tuesday 릴리스 동안 해결되었습니다. 공급업체는 취약성 있는 설치를 실행하는 모든 사용자가 가능한 한 빨리 보안 버전으로 업그레이드할 것을 촉구합니다.

CVE-2021-31166로 인한 공격으로부터 회사 인프라를 보호하려면 SOC Prime 팀이 위협 탐지 마켓플레이스에서 이미 발표한 커뮤니티 Sigma 규칙을 다운로드할 수 있습니다:

https://tdm.socprime.com/tdm/info/TenAI7BkMasL/jHwCkHkBcFeKcPZncFIn/?p=1#sigma

규칙은 다음 플랫폼에 번역되어 있습니다:

SIEM: Azure Sentinel, QRadar, Graylog, ELK Stack, Humio, FireEye

MITRE ATT&CK:

전략: 영향

기법: 네트워크 서비스 거부 (T1498)

전 세계적인 탐지 코드 플랫폼인 Threat Detection Marketplace에 가입하여 풀 CI/CD 탐지 절차 워크플로우를 제공합니다. 당사의 SOC 콘텐츠 라이브러리는 100K 이상의 탐지 알고리즘과 위협 헌팅 쿼리들을 CVE 및 MITRE ATT&CK 프레임워크에 직접 매핑하여 제공합니다. 탐지는 Sigma 언어를 기반으로 하여 모든 규칙이 조직의 XDR 스택에 맞추어 23개 시장 선도 SIEM, EDR, 그리고 NTDR 기술로 쉽게 변환될 수 있도록 보장합니다. 위협 헌팅 활동에 참여하고 직접 Sigma 규칙을 작성하고 싶으신가요? Threat Bounty 프로그램에 참여하세요!

플랫폼으로 이동 Threat Bounty 가입