Detectar Vulnerabilidade RCE Wormable (CVE-2021-31166) em Windows HTTP.sys
Índice:
A Microsoft corrigiu recentemente um bug altamente crítico (CVE-2021-31166), que permite a execução remota de código com direitos de kernel em máquinas que executam Windows 10 e Windows Server. O fornecedor alerta que esta falha é wormable e poderia se auto-propagar por múltiplos servidores dentro da rede organizacional para causar o máximo de danos. O exploit de Prova de Conceito (PoC) já foi liberado, levando criminosos a armarem-se da vulnerabilidade para ataques em campo.
Descrição CVE-2021-31166
O problema reside no HTTP Protocol Stack (HTTP.sys), uma importante utilidade que ajuda os servidores web do Windows Internet Information Services (IIS) a processar solicitações HTTP. Caso explorada, a falha permite que atores não autenticados enviem pacotes especialmente criados para um servidor vulnerável e acionem a execução arbitrária de código diretamente no kernel do sistema operacional Windows. Além disso, o bug pode ser aproveitado para lançar um ataque de negação de serviço remoto não autenticado (DoS), causando a Tela Azul da Morte nos dispositivos impactados. Para piorar, CVE-2021-31166 é um bug wormable que permite criar worms de rede para se propagar por outros serviços inicialmente não expostos à intrusão.
Em 15 de maio de 2021, os especialistas em segurança Alex Souchet liberaram uma prova de conceito exploit (PoC) para esta falha. Embora um PoC público careça das funções de worming, ele mostra uma maneira fácil de bloquear instalações afetadas do Windows no caso de execução de um servidor IIS. Atualmente, não há evidências de que o problema do HTTP.sys tenha sido explorado em campos. No entanto, a presença do PoC definitivamente motivaria os adversários a usar esta brecha de segurança contra servidores IIS expostos do Windows.
O único fator que de alguma forma limita as possíveis consequências devastadoras é que o bug existe apenas em versões recentes do Windows, incluindo Windows 10 2004/20H2 e Windows Server 2004/20H2, que foram lançados no ano passado.
Inicialmente, considerou-se que a falha afeta apenas máquinas que executam servidores IIS, no entanto, os pesquisadores Jim DeVries descobriram out que os serviços WinRM também estão sendo impactados. Como o WinRM está ativado por padrão em todos os servidores Windows executando as versões 2004/20H2, várias redes corporativas estão atualmente expostas à intrusão.
Detecção e Mitigação CVE-2021-31166
The o bug foi tratado pela Microsoft durante seu lançamento da Patch Tuesday em maio de 2021. O fornecedor exorta todos os usuários que executam instalações vulneráveis a atualizar para uma versão segura assim que possível.
Para proteger a infraestrutura da sua empresa de possíveis ataques alimentados pelo CVE-2021-31166, você pode baixar uma regra Sigma comunitária já liberada pela Equipe SOC Prime no Threat Detection Marketplace:
https://tdm.socprime.com/tdm/info/TenAI7BkMasL/jHwCkHkBcFeKcPZncFIn/?p=1#sigma
A regra possui traduções para as seguintes plataformas:
SIEM: Azure Sentinel, QRadar, Graylog, ELK Stack, Humio, FireEye
MITRE ATT&CK:
Táticas: Impacto
Técnicas: Negação de Serviço de Rede (T1498)
Assine o Threat Detection Marketplace, uma plataforma líder mundial de Detecção como Código que possibilita o fluxo de trabalho completo de CI/CD dos procedimentos de detecção. Nossa biblioteca de conteúdo SOC agrega mais de 100K algoritmos de detecção e consultas de caça a ameaças mapeadas diretamente para frameworks CVE e MITRE ATT&CK®. As detecções são baseadas na linguagem Sigma, assegurando que todas as regras sejam facilmente convertíveis para 23 tecnologias líderes de mercado em SIEM, EDR e NTDR para corresponder ao stack XDR da organização. Ansioso para participar de atividades de caça a ameaças e criar suas próprias regras Sigma? Junte-se ao nosso Programa de Recompensas de Ameaça!
Ir para a Plataforma Junte-se ao Programa de Recompensas de Ameaça
