Worming your way in through IIS -
CVE-2022-21907

Von Eoin Carroll · 27. Januar 2022

IIS HTTP-Stapelverlauf

Am ersten Patch-Dienstag des Jahres 2022 veröffentlichte Microsoft einen Patch für die für Würmer ausnutzbare Sicherheitslücke CVE-2022-21907 im IIS HTTP-Stapel, genauer gesagt im Treiber "HTTP.sys". Dabei handelt es sich um die zweite Sicherheitslücke dieser Art im Microsoft-Treiber "HTTP.sys" innerhalb der letzten 7 Monate, beide mit einer kritischen CVSS-Bewertung von 9,8. Wie immer geht es uns bei der Analyse kritischer Schwachstellen in der Branche darum, unsere Kunden und die gesamte Community der über das Internet vernetzten Benutzer mit qualitativ hochwertigen und auf Erfahrung basierenden Analysen zu schützen. Während sich die Sicherheitsbranche noch immer von den Folgen der Log4j-Schwachstelle CVE-2021-44228 erholt, dürfen wir andere kritische Schwachstellen, die von Würmern ausgenutzt werden können, nicht aus den Augen verlieren.

Die Schwachstelle CVE-2021-31166, die wir vor 7 Monaten analysiert haben, konnte ebenfalls von Würmern ausgenutzt werden, wurde jedoch kaum missbraucht. Das liegt möglicherweise zum Teil daran, dass Unternehmen ihr Gefährdungspotenzial reduzieren, indem sie Patches früher installieren. Ursache hierfür sind frühere Schwachstellen wie der berüchtigte Exploit EternalBlue sowie die aktive Bedrohungsforschung, auf deren Grundlage kritische, zu patchende Schwachstellen gemeldet werden.

CVE-2022-21907 – Schwachstellenanalyse und Angriffsszenario

Unserer Patch-Analyse zufolge handelt es sich bei CVE-2022-21907 um eine Schwachstelle aufgrund von nicht initialisiertem Speicher in zwei Speicherzuweisungsfunktionen namens UlpAlllocateFactTracker und UlAllocateFastTrackerToLookaside. Diese Funktionen setzen zugewiesenen Speicher im nicht ausgelagerten Pool des Kernels vor dem Durchführen nachfolgender Vorgänge nicht auf null. Durch remotes Präparieren des nicht ausgelagerten Kernel-Pools ist es möglich, den Pools-Speicher in einen Zustand zu versetzen, in dem der durch UlpAlllocateFactTracker und UlAllocateFastTrackerToLookaside zugewiesene nicht initialisierte Speicher mit vom Angreifer kontrollierten Daten gefüllt wird. Der Pool wird entsprechend präpariert, indem sehr große HTTP-Header-Felder mit vom Angreifer kontrollierten Daten gesendet werden, was eine Zuweisung im nicht ausgelagerten Pool des Kernels zur Folge hat. Nach unserer Analyse dauert es einige Minuten, bis ein System durch entsprechendes Präparieren des nicht ausgelagerten Pools des Kernels zum Absturz gebracht wird. Die genaue Zeit hängt vom Zustand des Kernel-Pool-Speichers eines Servers ab. Damit eine Schwachstelle erfolgreich ausgenutzt werden kann, müssten per Fernzugriff Lese-, Schreib- und Ausführungsprimitive erstellt werden, was keine leichte Aufgabe ist. Die Schwachstelle ist jedoch so beschaffen, dass bei betroffenen Windows-Versionen eine Remote-Code-Ausführung und Denial-of-Service-Angriffe (Bluescreen) möglich sind. Die Vorstellung, IIS aus der Ferne und ohne Authentifizierung zum Absturz bringen zu können, ist für Angreifer natürlich sehr verlockend.

Schutzmaßnahmen

Microsoft gibt in den Empfehlungen eindeutig an, welche Windows-Betriebssystemversionen betroffen sind. Die Branche ist sich jedoch uneinig darüber. Daher empfehlen wir, alle IIS-Server zu patchen, wobei von außen zugängliche Server oberste Priorität haben. Für alle, die das Microsoft-Update nicht installieren können, stellen wir einen "virtuellen Patch" in Form einer Netzwerk-IPS-Signatur zur Verfügung. Damit kann die versuchte Ausnutzung dieser Schwachstelle erkannt und verhindert werden. Wenn Sie keine Möglichkeit haben, unsere Netzwerk-IPS-Signatur zu verwenden, sollten Sie auf Netzwerkebene nach HTTP-Header-Feldern mit sehr großen Datenmengen suchen, die in vielen aufeinanderfolgenden HTTP-Anfragen gesendet werden. Das wäre ein Hinweis darauf, dass der Pool per Fernzugriff präpariert wird. Web-Server prüfen im Allgemeinen nur die Summe aller Daten in HTTP-Header-Feldern, nicht jedoch die Datenlänge der einzelnen Felder.

Zum Zeitpunkt der Erstellung dieses Beitrags sind uns keine Fälle bekannt, in denen die Schwachstelle CVE-2022-21907 tatsächlich ausgenutzt wurde. Wir werden die Bedrohungslage jedoch weiterhin beobachten und entsprechende Updates bereitstellen. Wir stellen einen Trend bei HTTP.sys-Schwachstellen fest und empfehlen Unternehmen dringend, sich auf mögliche weitere priorisierte Patch-Installationen vorzubereiten.

PATCHEN Sie jetzt, wenn Sie IIS verwenden!

Schutz durch McAfee Network Security Platform (NSP)

Komponentenangriff: 0X452a1500 "HTTP: Langer Anforderungs-Header erkannt"

Korrelationsangriff: 0x452a1300 "HTTP: Schwachstelle im Microsoft IIS-Protokollstapel, die Code-Ausführung per Fernzugriff ermöglicht (CVE-2022-21907)"

McAfee-KnowledgeBase-Artikel KB95180

https://kc.mcafee.com/agent/index?page=content&id=KB95180