Windows OS に存在する RCE 脆弱性(CVE-2021-31166) についての検証レポート
2021.06.01
2021年5月11日にMicrosoftが公表したhttp.sys に存在するリモートコード実行の脆弱性(CVE-2021-31166)[1]についての検証を実施し、脆弱性の悪用が可能であることを確認しました。
1. 本脆弱性の概要
http.sys は、HTTP プロトコルスタックを処理するカーネルモードドライバで、Windows マシンの Web サービスである Internet Information Services(IIS)などで利用されています。本脆弱性は、http.sys に存在する Use-After-Free(解放済みメモリ使用)の問題に起因します。この脆弱性が悪用された場合、攻撃者がリモートから任意のコードを実行できる可能性があります。
本脆弱性は CVSSv3 スコアが 9.8 と評価されています。また Blue Screen of Death(BSoD)を引き起こす概念実証(PoC)コードも確認されているため、本脆弱性が存在する環境では DoS 攻撃を受ける可能性があります。
図1. 本脆弱性を悪用した攻撃の例
図1は、本脆弱性に対する攻撃の一例として、脆弱性を含む IIS が稼働する Windows マシンに対し、攻撃者が細工した不正なリクエストを送信して、Windows マシン上で任意のコードを実行する例を示しています。
2. 本脆弱性の影響を受ける環境
本脆弱性の影響を受ける可能性があるバージョンは以下の通りです。[1]
- Windows 10 Version 2004 for 32-bit/x64-based/ARM64-based Systems
- Windows 10 Version 20H2 for 32-bit/x64-based/ARM64-based Systems
- Windows Server, version 2004/20H2 (Server Core installation)
3. 本脆弱性を利用した攻撃の検証
PoC コードを用いて本脆弱性に対する攻撃を試行し、脆弱性の悪用が可能であることを確認しました。
3.1. 検証環境
表1. 検証に使用した環境
| 疑似攻撃者 | 疑似被害者 | |
|---|---|---|
| OS | Kali Linux 64bit | Windows 10 Pro 64bit Version 20H2 |
| アプリケーション/ツール | PoC コード | Microsoft IIS |
3.2. 攻撃手法
本脆弱性が存在する疑似被害者に対して、疑似攻撃者から不正なリクエストを送信します。リクエストヘッダには、利用可能な圧縮アルゴリズムを伝える Accept-Encoding の値に、存在しないアルゴリズム名を複数指定します。このリクエストを疑似被害者が受信した際に、適切に処理を行うことに失敗することで BSoD が発生します。本検証では PoC コードを利用して不正なリクエストを送信することにより、本脆弱性の悪用を試みました。
3.3. 検証結果
図2に示す結果の通り、疑似被害者に対して疑似攻撃者から不正なリクエストを送信することで、BSoD を発生させることができました。
図2. PoC コードの実行と BSoD の発生
4. 本脆弱性に対する対策
4.1. 現在推奨されている対策
2021年5月31日現在、Microsoft より本脆弱性の修正パッチが提供されています。[2]
4.2. 不正アクセス監視機器による対策
当社が確認している不正アクセス監視機器の対応状況
各製品ベンダーの本脆弱性への対応状況に関する情報、および本検証による各製品での検知結果は以下の通りです。表2に公式シグネチャの提供状況を記載します。
表2. 製品ベンダーによるシグネチャ提供状況(2021年5月31日時点)
| 種別 | 製品ベンダー/製品 | 製品ベンダー提供のシグネチャ | 検知結果 |
|---|---|---|---|
| IDS/IPS | IBM QRader Network Security GX/XGS Series |
メーカーからのシグネチャは現在未提供です。 既存のシグネチャで検出できるかどうか、現在確認中です。 |
検証中 |
| McAfee Network Security Platform NS/M Series |
Signature Set 10.8.21.5: Microsoft HTTP Protocol Stack Remote Code Execution Vulnerability (CVE-2021-31166) [0x4528f000] |
〇 | |
| WAF | Imperva SecureSphere |
メーカーからのシグネチャは現在未提供です。 既存のシグネチャで検出できるかどうか、現在確認中です。 |
検証中 |
| F5 Networks BIG-IP |
対応するシグネチャがあるかどうか、現在確認中です。 | - | |
| NGFW | Palo Alto PA Series |
Threat ID 91104, 91126, 91146, 91166 Microsoft HTTP Protocol Stack Remote Code Execution Vulnerability |
〇 |
| Check Point NGFW Series |
CPAI-2021-0292 Microsoft HTTP Protocol Stack Remote Code Execution (CVE-2021-31166) |
検証中 | |
| 総合サーバセキュリティ対策 | Trend Micro Deep Security |
DPI 1010949 Microsoft Windows HTTP Protocol Stack Remote Code Execution Vulnerability (CVE-2021-31166) |
検証中 |
参考文献
-
[1]
HTTP プロトコル スタックのリモートでコードが実行される脆弱性
https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2021-31166 -
[2]
Microsoft Update カタログ
https://www.catalog.update.microsoft.com/Search.aspx?q=KB5003173
機器別当社対応サービス
IDS/IPS
-
INTELLILINK IDS/IPSセキュリティ監視・運用サービス
https://www.intellilink.co.jp/business/security/scrutiny_01.aspx
WAF
-
INTELLILINK WAFセキュリティ監視・運用サービス
https://www.intellilink.co.jp/business/security/scrutiny_05.aspx
NGFW
-
INTELLILINK UTMセキュリティ監視・運用サービス
https://www.intellilink.co.jp/business/security/scrutiny_06.aspx
総合サーバセキュリティ対策
-
INTELLILINK クラウドセキュリティ監視・運用サービス
https://www.intellilink.co.jp/business/security/deepsecurity.aspx
更新履歴
2021/5/31 初版作成
※ 各規格名、会社名、団体名、製品名は、各社の商標または登録商標です。