Worming your way in through IIS -
CVE-2022-21907

Por Eoin Carroll · 27 de janeiro de 2022

História da pilha HTTP do IIS

Na primeira terça-feira de patches de 2022, a Microsoft lançou um patch para uma vulnerabilidade que poderia ser explorada por worms CVE-2022-21907 na pilha HTTP do IIS, mais especificamente no driver HTTP.sys. É a segunda vulnerabilidade desse tipo no driver HTTP.sys da Microsoft nos últimos sete meses, ambas com pontuação CVSS crítica de 9,8. Como sempre, nosso objetivo na análise de vulnerabilidades críticas do setor é proteger nossos clientes e a comunidade de usuários conectados à Internet usando análises qualitativas e baseadas em experiência. Embora a indústria de segurança ainda esteja se recuperando das consequências da CVE-2021-44228 do “Log4j”, não podemos perder de vista outras vulnerabilidades críticas que também possam ser exploradas por worms.

A CVE-2021-31166, que analisamos há sete meses, também era suscetível a worms, mas não foi muito utilizada na prática. Isso pode ser em parte porque as empresas agora estão reduzindo sua janela de exposição, corrigindo mais cedo. É o resultado de vulnerabilidades anteriores, incluindo o infame EternalBlue, bem como da pesquisa ativa por equipes de pesquisa de ameaças para sinalizar vulnerabilidades críticas que devem ser corrigidas.

Análise e cenário de ataque da vulnerabilidade CVE-2022-21907

A partir de nossa análise de patch, a CVE-2022-21907 é uma vulnerabilidade de memória não inicializada dentro de duas funções de alocação de memória chamadas UlpAlllocateFactTracker e UlAllocateFastTrackerToLookaside. Essas funções não conseguem zerar a memória alocada no pool não paginado do kernel antes de realizarem operações posteriores. Ao preparar o pool não paginado do kernel remotamente, é possível colocar a memória do pool em um estado tal que a memória não inicializada alocada por UlpAlllocateFactTracker e UlAllocateFastTrackerToLookaside seja preenchida com dados controlados pelo atacante. A preparação é realizada enviando-se campos muito grandes de cabeçalhos http com dados controlados pelo atacante, o que resulta em alocação no pool não paginado do kernel. Com base em nossa análise, vários minutos são necessários para preparar o pool não paginado do kernel para travar um sistema, mas o tempo é completamente dependente do estado de memória do pool do kernel existente de um servidor. Uma exploração bem-sucedida exigiria a criação remota de primitivas de leitura, gravação e execução, e isso não é uma tarefa fácil. Porém, a vulnerabilidade tem as propriedades para alcançar a execução remota de código e negação de serviço (tela azul da morte) para versões afetadas do Windows. Ser capaz de travar remotamente o IIS sem exigir autenticação seria, naturalmente, atraente para os atacantes.

Minimizações

A Microsoft afirma claramente no aviso quais versões do SO Windows são impactadas; no entanto, tem havido muita discussão no setor sobre quais seriam essas versões. Portanto, recomendamos corrigir todos os servidores IIS, focando nos servidores IIS voltados para o exterior como prioridade máxima. Para aqueles que não podem aplicar a atualização da Microsoft, estamos fornecendo um “patch virtual” na forma de uma assinatura IPS de rede que pode ser usada para detectar e prevenir tentativas de exploração dessa vulnerabilidade. Se você não puder corrigir ou proteger usando nossa assinatura IPS de rede, então recomendamos detectar no nível da rede campos de cabeçalhos HTTP com dados muito grandes sendo enviados em muitas solicitações HTTP consecutivas, o que indicaria a preparação remota. Os Servidores Web geralmente verificam apenas a soma de todos os dados de campos de cabeçalhos HTTP, e não o comprimento de dados de campos individuais.

No momento da escrita deste texto, não estamos cientes de qualquer exploração no mundo real da para CVE-2022-21907, mas continuaremos monitorando o cenário de ameaças e fornecendo atualizações relevantes. Estamos começando a notar uma tendência de vulnerabilidades HTTP.sys, e clamamos às empresas que se preparem para uma possível aplicação ainda mais priorizada de patches.

APLIQUE O PATCH AGORA se estiver usando o IIS!

Proteção McAfee Network Security Platform (NSP)

Ataque componente: 0x452a1500 “HTTP: longa solicitação de cabeçalho detectada”

Ataque de correlação: 0x452a1300 "HTTP: vulnerabilidade de execução remota de código na pilha de protocolo do Microsoft IIS (CVE-2022-21907)”

Artigo KB95180 do centro de conhecimento da McAfee

https://kc.mcafee.com/agent/index?page=content&id=KB95180