Worming your way in through IIS -
CVE-2022-21907

저자: Eoin Carroll · 2022년 1월 27일

IIS HTTP 스택 기록

2022년 화요일 첫 번째 패치에서 Microsoft는 IIS HTTP 스택, 또는 좀 더 구체적으로 HTTP.sys 드라이버 내의 웜 방식으로 퍼질 수 있는 취약성 CVE-2022-21907에 대한 패치를 릴리스했습니다. 이는 지난 7개월 동안 Microsoft HTTP.sys 드라이버의 두 번째 취약성이며 둘 다 9.8이라는 심각한 CVSS 점수를 보여줍니다. 늘 그렇듯이, 심각한 산업 취약성 분석의 목표는 경험 기반의 정성적 분석을 사용하여 고객과 인터넷에 연결된 광범위한 사용자 커뮤니티를 보호하는 것입니다. 보안 업계가 "Log4j" CVE-2021-44228의 여파에서 여전히 회복 중이지만, 당사는 웜 가능성 특성이 있는 다른 심각한 취약성에서 눈을 뗄 수 없습니다.

당사에서 7개월 전에 분석한 CVE-2021-31166도 웜 방식으로 퍼질 수 있는 상태였지만, 대단한 무기화 징후는 보이지 않았습니다. 부분적으로는 기업이 악명 높은 EternalBlue를 포함한 이전 취약성을 경험한 결과 더 빨리 패치를 적용하여 노출 창을 줄이고 있기 때문일 수 있고, 다른 한편으로는 위협 연구팀이 패치해야 하는 심각한 취약성의 플래그 지정을 위해 활발하게 연구하고 있기 때문일 수 있습니다.

CVE-2022-21907 취약성 분석 및 공격 시나리오

당사 패치 분석에 따르면 CVE-2022-21907은 UlpAlllocateFactTracker 및 UlAllocateFastTrackerToLookaside라는 두 개의 메모리 할당 함수 내에서 초기화되지 않은 메모리 취약성입니다. 이러한 함수는 이후 작업을 수행하기 전에 커널 비페이징 풀에서 할당된 메모리를 제로(0)로 만드는 데 실패합니다. 커널 비페이징 풀을 원격으로 그루밍하면, UlpAlllocateFactTracker 및 UlAllocateFastTrackerToLookaside에 의해 할당된 초기화되지 않은 메모리가 공격자가 제어하는 데이터로 채워지는 상태로 풀 메모리를 전환할 수 있습니다. 그루밍은 공격자가 제어하는 데이터와 함께 매우 큰 http 헤더 필드를 전송하여 이루어지며, 결국 커널 비페이징 풀에 데이터가 할당됩니다. 당사 분석에 따르면, 커널 비페이징 풀을 그루밍하여 시스템 크래시를 일으키는 데 몇 분 정도 걸리지만 이 시간은 전적으로 서버의 기존 커널 풀 메모리 상태에 따라 다릅니다. 악용에 성공하려면 읽기, 쓰기, 실행 프리미티브를 원격으로 생성해야 하는데 이는 쉬운 일이 아닙니다. 그러나 취약성에는 영향을 받는 Windows 버전에 대해 원격 코드 실행 및 서비스 거부(정지 블루 스크린)를 구현하기 위한 속성이 있습니다. 인증을 요구하지 않고 원격으로 IIS 크래시를 일으킬 수 있다는 것은 물론 공격자들에게 매혹적일 것입니다.

완화

Microsoft는 영향을 받는 Windows OS 버전을 경고문에 명확하게 명시합니다. 그러나 어떤 버전이 영향을 받는지에 대해 업계에서 많은 논의가 있었습니다. 따라서 모든 IIS 서버에 패치를 적용하되, 외부에 대면하는 IIS 서버에 최고 우선순위를 두는 것이 좋습니다. Microsoft의 업데이트를 적용할 수 없는 사용자를 위해 당사는 이 취약성에 대한 악용 시도를 탐지하고 차단하는 데 사용할 수 있는 네트워크 IPS 시그니처 형태의 ‘가상 패치’를 제공합니다. 네트워크 IPS 시그니처를 사용하여 패치하거나 보호할 수 없는 경우, 많은 연속 HTTP 요청(원격 그루밍을 나타낼 수 있음)에서 전송되는 대규모 데이터가 있는 HTTP 헤더 필드에 대해 네트워크 수준에서 탐지하는 것이 좋습니다. 웹 서버는 일반적으로 모든 HTTP 헤더 필드 데이터의 합계만 확인하고 개별 필드 데이터 길이는 확인하지 않습니다.

이 문서를 작성하는 시점에 당사는 CVE-2022-21907에 대한 ‘현장(in-the-wild)’ 악용을 인지하지 못했지만, 계속해서 위협 환경을 모니터링하고 관련 업데이트를 제공할 것입니다. 당사는 HTTP.sys 취약성의 추세를 관찰하기 시작했으므로, 기업이 잠재적으로 우선순위가 높은 패치에 대비할 것을 촉구합니다.

IIS를 사용 중이면 지금 패치하십시오!

McAfee NSP(Network Security Platform) 보호

구성 요소 공격: 0x452a1500 “HTTP: 긴 요청 헤더 탐지됨”

상관관계 공격: 0x452a1300 "HTTP: Microsoft IIS 프로토콜 스택 원격 코드 실행 취약성(CVE-2022-21907)”

McAfee 기술 자료 문서 KB95180

https://kc.mcafee.com/agent/index?page=content&id=KB95180