Worming your way in through IIS -
CVE-2022-21907

Eoin Carroll 著· 2022 年 1 月 27 日

IIS HTTP スタックの歴史

Microsoft は、2022 年初となる火曜日のパッチ リリースにおいて、IIS HTTP スタック内、より具体的に言うと HTTP.sys ドライバーへのワーム侵入を許す脆弱性 CVE-2022-21907 に対するパッチを公開しました。この脆弱性は、Microsoft の HTTP.sys ドライバーでは過去 7 か月間で 2 件目となり、いずれも CVSS スコアは 9.8 と重大なものです。これまでと同様に、重要な業界の脆弱性分析の目的は、定性的かつ経験に基づく分析を使用することにより、当社のお客様やインターネットに接続する幅広いコミュニティを保護することです。セキュリティ業界は、「Log4j」CVE-2021-44228 の余波からまだ回復していませんが、ワーム侵入を許可する特性を持つ他の重大な脆弱性を見落とすことはできません。

7 か月前に分析した CVE-2021-31166 もワームの侵入を許可するものでしたが、武器化は見られませんでした。これは、悪名高い EternalBlue を含むかつての脆弱性や、脅威研究チームがパッチを適用しなければならない重要な脆弱性にフラグを立てる研究を積極的に行った結果、企業がより早くパッチを適用することで露出期間が短縮されていることが一因と思われます。

CVE-2022-21907 の脆弱性分析と攻撃のシナリオ

パッチ解析の結果、CVE-2022-21907 は、UlpAlllocateFactTracker および UlAllocateFastTrackerToLookaside というメモリー割り当て関数に含まれる、初期化されていないメモリーの脆弱性であることが判明しました。これらの関数は、後の操作を実行する前に、カーネルの非ページ プールに割り当てられたメモリーをゼロにすることに失敗します。カーネルの非ページ プールをリモートでグルーミングすることで、プール メモリーを、UlpAlllocateFactTracker および UlAllocateFastTrackerToLookaside によって割り当てられた初期化されていないメモリーに攻撃者が管理するデータを入力できる状態にすることが可能になります。グルーミングは、攻撃者が管理するデータを含む非常に大きな http ヘッダー フィールドを送信することによって行われ、その結果、カーネルの非ページ プールに割り当てられます。当社の分析では、カーネルの非ページ プールをグルーミングしてシステムをクラッシュさせるには数分を要しますが、この時間はサーバーの既存のカーネル プール メモリーの状態に完全に依存しています。このような悪用を成功させるには、読み取り、書き込み、実行の各プリミティブをリモートで作成する必要がありますが、これは容易なことではありません。しかし、この脆弱性には、影響を受ける Windows のバージョンで、リモートからのコードの実行やサービス拒否 (ブルー スクリーン) を達成する特性があります。認証を必要とせずに、リモートで IIS をクラッシュさせることができるのは、もちろん攻撃者にとって魅力的なことでしょう。

緩和策

Microsoft は、アドバイザリーにおいて影響を受ける Windows OS のバージョンを明示していますが、業界ではどのバージョンが影響を受けるかについて多くの議論がなされています。そのため、すべての IIS サーバーにパッチを適用し、特に外部に面した IIS サーバーには最優先でパッチを適用することをお勧めします。Microsoft のアップデートを適用できないお客様には、この脆弱性の悪用を検知および防止するために使用できる「仮想パッチ」をネットワーク IPS 署名の形で提供しています。当社のネットワーク IPS 署名を使用してもパッチの適用や保護ができない場合は、非常に大規模なデータを含む HTTP ヘッダー フィールドが、何回もの連続する HTTP リクエストで送信されていないかどうかをネットワーク レベルで検出することをお勧めします。もしそうであれば、リモート グルーミングの疑いがあります。Web サーバーは一般に、すべての HTTP ヘッダー フィールド データの合計をチェックするだけで、個々のフィールド データの長さをチェックすることはありません。

本記事の執筆時点では、CVE-2022-21907 の悪用の「流行」は確認されていませんが、引き続き脅威の状況をモニターし、関連する最新情報を提供します。HTTP.sys には脆弱性の傾向が確認され始めており、企業は優先的にパッチを適用できるように準備しておくことをお勧めします。

IIS を使用している場合は、すぐにパッチを適用してください。

McAfee Network Security Platform (NSP) 保護

コンポーネント攻撃: 0x452a1500 「HTTP: 長いリクエストヘッダーが検出される」

相関攻撃: 0x452a1300 「HTTP: Microsoft IIS プロトコル スタックにおけるリモートからのコードの実行の脆弱性 (CVE-2022-21907)」

McAfee Knowledge Base の記事 KB95180

https://kc.mcafee.com/agent/index?page=content&id=KB95180