Windows OS に存在する RCE 脆弱性(CVE-2021-31166) についての検証レポート

脆弱性検証レポート

2021.06.01

  

2021年5月11日にMicrosoftが公表したhttp.sys に存在するリモートコード実行の脆弱性(CVE-2021-31166)[1]についての検証を実施し、脆弱性の悪用が可能であることを確認しました。

1. 本脆弱性の概要

http.sys は、HTTP プロトコルスタックを処理するカーネルモードドライバで、Windows マシンの Web サービスである Internet Information Services(IIS)などで利用されています。本脆弱性は、http.sys に存在する Use-After-Free(解放済みメモリ使用)の問題に起因します。この脆弱性が悪用された場合、攻撃者がリモートから任意のコードを実行できる可能性があります。
本脆弱性は CVSSv3 スコアが 9.8 と評価されています。また Blue Screen of Death(BSoD)を引き起こす概念実証(PoC)コードも確認されているため、本脆弱性が存在する環境では DoS 攻撃を受ける可能性があります。

図1. 本脆弱性を悪用した攻撃の例

図1. 本脆弱性を悪用した攻撃の例

図1は、本脆弱性に対する攻撃の一例として、脆弱性を含む IIS が稼働する Windows マシンに対し、攻撃者が細工した不正なリクエストを送信して、Windows マシン上で任意のコードを実行する例を示しています。

2. 本脆弱性の影響を受ける環境

本脆弱性の影響を受ける可能性があるバージョンは以下の通りです。[1]

  • Windows 10 Version 2004 for 32-bit/x64-based/ARM64-based Systems
  • Windows 10 Version 20H2 for 32-bit/x64-based/ARM64-based Systems
  • Windows Server, version 2004/20H2 (Server Core installation)

3. 本脆弱性を利用した攻撃の検証

PoC コードを用いて本脆弱性に対する攻撃を試行し、脆弱性の悪用が可能であることを確認しました。

3.1. 検証環境

表1. 検証に使用した環境

 疑似攻撃者疑似被害者
OSKali Linux 64bitWindows 10 Pro 64bit Version 20H2
アプリケーション/ツールPoC コードMicrosoft IIS

3.2. 攻撃手法

本脆弱性が存在する疑似被害者に対して、疑似攻撃者から不正なリクエストを送信します。リクエストヘッダには、利用可能な圧縮アルゴリズムを伝える Accept-Encoding の値に、存在しないアルゴリズム名を複数指定します。このリクエストを疑似被害者が受信した際に、適切に処理を行うことに失敗することで BSoD が発生します。本検証では PoC コードを利用して不正なリクエストを送信することにより、本脆弱性の悪用を試みました。

3.3. 検証結果

図2に示す結果の通り、疑似被害者に対して疑似攻撃者から不正なリクエストを送信することで、BSoD を発生させることができました。

図2. PoC コードの実行と BSoD の発生

図2. PoC コードの実行と BSoD の発生

4. 本脆弱性に対する対策

4.1. 現在推奨されている対策

2021年5月31日現在、Microsoft より本脆弱性の修正パッチが提供されています。[2]

4.2. 不正アクセス監視機器による対策

当社が確認している不正アクセス監視機器の対応状況

各製品ベンダーの本脆弱性への対応状況に関する情報、および本検証による各製品での検知結果は以下の通りです。表2に公式シグネチャの提供状況を記載します。

表2. 製品ベンダーによるシグネチャ提供状況(2021年5月31日時点)

種別製品ベンダー/製品製品ベンダー提供のシグネチャ検知結果
IDS/IPS IBM
QRader
Network Security
GX/XGS Series
メーカーからのシグネチャは現在未提供です。
既存のシグネチャで検出できるかどうか、現在確認中です。
検証中
McAfee
Network
Security Platform
NS/M Series
Signature Set 10.8.21.5:
Microsoft HTTP Protocol Stack Remote Code Execution Vulnerability (CVE-2021-31166) [0x4528f000]
WAF Imperva
SecureSphere
メーカーからのシグネチャは現在未提供です。
既存のシグネチャで検出できるかどうか、現在確認中です。
検証中
F5 Networks
BIG-IP
対応するシグネチャがあるかどうか、現在確認中です。 -
NGFW Palo Alto
PA Series
Threat ID 91104, 91126, 91146, 91166
Microsoft HTTP Protocol Stack Remote Code Execution
Vulnerability
Check Point
NGFW Series
CPAI-2021-0292
Microsoft HTTP Protocol Stack Remote Code Execution (CVE-2021-31166)
検証中
総合サーバセキュリティ対策 Trend Micro
Deep Security
DPI 1010949
Microsoft Windows HTTP Protocol Stack Remote Code Execution Vulnerability (CVE-2021-31166)
検証中

参考文献

機器別当社対応サービス

IDS/IPS

WAF

UTM

NGFW

総合サーバセキュリティ対策

更新履歴

2021/5/31 初版作成

※ 各規格名、会社名、団体名、製品名は、各社の商標または登録商標です。

本件に関するお問い合わせ先


NTTデータ先端技術株式会社
お問い合わせフォーム