Worming your way in through IIS -
CVE-2022-21907

Eoin Carroll · 27 de enero de 2022

Histórico de vulnerabilidades de las pilas HTTP de IIS

El primer "martes de parches" (Patch Tuesday) de 2022, Microsoft lanzó un parche para una vulnerabilidad de tipo gusano, CVE-2022-21907, que afectaba a la pila HTTP de IIS, más concretamente al controlador HTTP.sys. Se trata de la segunda vulnerabilidad de este tipo en el controlador HTTP.sys de Microsoft en los últimos siete meses, ambas con una calificación CVSS de 9,8. Como siempre, nuestro objetivo en los análisis de vulnerabilidades críticas de un sector es proteger a nuestros clientes y a toda la comunidad de internautas mediante análisis cualitativos basados en la experiencia. Con el sector de la seguridad todavía recuperándose de las secuelas de la vulnerabilidad CVE-2021-44228 asociada a "Log4j", no podemos perder de vista otras vulnerabilidades críticas susceptibles de ser explotadas por gusanos.

La vulnerabilidad CVE-2021-31166, que ya analizamos hace siete meses, también es de tipo gusano, pero en su momento no consideramos que se pudiese utilizar de forma maliciosa. Esta ausencia de explotación podría explicarse en parte porque ahora las empresas aplican parches antes para reducir su ventana de exposición, escarmentadas por vulnerabilidades anteriores, como la tristemente famosa Eternalblue. Sin olvidar los esfuerzos realizados por los equipos de investigación de amenazas para señalar las vulnerabilidades críticas que hay que corregir.

Análisis de la vulnerabilidad CVE-2022-21907 y escenario de ataque

De acuerdo con nuestro análisis del parche, CVE-2022-21907 es una vulnerabilidad de memoria sin inicializar en dos funciones de asignación de memoria llamadas UlpAlllocateFactTracker y UlAllocateFastTrackerToLookaside. Estas funciones no ponen a cero la memoria asignada en el pool no paginado del kernel antes de llevar a cabo operaciones posteriores. Si se "prepara" ese pool no paginado de forma remota, se puede poner la memoria del pool en un estado que permite rellenar la memoria sin inicializar que asignan UlpAlllocateFactTracker y UlAllocateFastTrackerToLookaside con datos gestionados por el ciberdelincuente. Para preparar el pool, se envían campos de encabezado HTTP muy largos con datos controlados por el ciberdelincuente para forzar una asignación en el pool no paginado del kernel. Según nuestro análisis, la preparación del pool tarda varios minutos en bloquear un sistema, pero el tiempo exacto depende totalmente del estado en el que esté la memoria del pool del kernel que haya en el servidor. Para que la explotación tenga éxito sería necesario crear componentes primitivos de lectura, escritura y ejecución de forma remota, algo que no resulta fácil. Sin embargo, la vulnerabilidad es capaz de ejecutar código de forma remota y por denegación de servicio (pantalla azul) en las versiones afectadas de Windows. La perspectiva de causar el bloqueo de IIS de forma remota sin tener que autenticarse es sin duda muy atractiva para los ciberdelincuentes.

Funciones de prevención

En el aviso, Microsoft indica claramente qué versiones del sistema operativo Windows están afectadas. Sin embargo, en el sector de la ciberseguridad han sido muchas las especulaciones en cuanto a las versiones realmente afectadas. Por esa razón, recomendamos aplicar parches a todos los servidores IIS, priorizando los servidores IIS externos. Para quienes no puedan instalar la actualización de Microsoft, ofrecemos un "parche virtual" en forma de firma IPS de red que sirve para detectar y evitar los intentos de explotación de esta vulnerabilidad. Si no puede aplicar el parche ni protegerse mediante nuestra firma IPS de red, le recomendamos tratar de detectar en la red campos de encabezado HTTP con grandes volúmenes de datos que se envíen en varias solicitudes HTTP consecutivas. Esto es un indicio de preparación remota. Por lo general, los servidores web solo comprueban la suma de todos los datos de los campos de encabezado HTTP y no su longitud individual.

En el momento de redactar este artículo, no tenemos constancia de que haya ninguna explotación de CVE-2022-21907 en entornos reales, pero seguiremos vigilando el panorama de las amenazas e informaremos de cualquier novedad. Las vulnerabilidades de tipo HTTP.sys se multiplican, por lo que recomendamos a las empresas que se preparen porque es posible que tengan que aplicar parches de mayor prioridad aún.

Si usa IIS, ¡APLIQUE LOS PARCHES YA!

Protección de McAfee Network Security Platform (NSP)

Ataque de componente: 0x452a1500 "HTTP: encabezado de solicitud larga detectado"

Ataque por correlación: 0x452a1300 "HTTP: vulnerabilidad de tipo de ejecución de código en la pila de protocolos de Microsoft IIS (CVE-2022-21907)”

Artículo KB95180 de la base de datos de conocimientos de McAfee

https://kc.mcafee.com/agent/index?page=content&id=KB95180