Matéria original: https://www.bleepingcomputer.com/news/microsoft/microsoft-new-critical-windows-http-vulnerability-is-wormable/
Obs.: Este é um conteúdo traduzido.
A Microsoft corrigiu uma falha crítica marcada como wormable e descobriu que afeta as versões mais recentes do Windows para desktop e servidor, incluindo o Windows 11 e o Windows Server 2022.
O bug, rastreado como CVE-2022-21907 e corrigido durante o Patch Tuesday deste mês , foi descoberto no HTTP Protocol Stack (HTTP.sys) usado como um ouvinte de protocolo para processar solicitações HTTP pelo servidor Web do Windows Internet Information Services (IIS) .
A exploração bem-sucedida exige que os agentes de ameaças enviem pacotes criados com códigos maliciosos para servidores Windows direcionados, que usam a pilha de protocolos HTTP vulnerável para processar pacotes.
A Microsoft recomenda que os usuários priorizem a correção dessa falha em todos os servidores afetados, pois isso pode permitir que invasores não autenticados executem remotamente código arbitrário em ataques de baixa complexidade e "na maioria das situações", sem exigir interação do usuário.
Mitigação disponível (para algumas versões do Windows)
Felizmente, a falha não está atualmente sob exploração ativa e não há provas de exploração de conceito divulgadas publicamente.
Além disso, em algumas versões do Windows (ou seja, Windows Server 2019 e Windows 10 versão 1809), o recurso HTTP Trailer Support que contém o bug não está habilitado por padrão.
De acordo com a Microsoft, a seguinte chave de registro do Windows deve ser configurada nessas duas versões do Windows para introduzir a vulnerabilidade:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters\
"EnableTrailerSupport"=dword:00000001A desativação do recurso HTTP Trailer Support protegerá os sistemas que executam as duas versões, mas essa mitigação não se aplica a outras versões do Windows afetadas.
Possíveis alvos provavelmente protegidos contra ataques
Embora os usuários domésticos ainda não apliquem as atualizações de segurança de hoje, a maioria das empresas provavelmente estará protegida contra as explorações CVE-2022-21907, já que geralmente não executam as versões mais recentes do Windows.
Nos últimos dois anos, a Microsoft corrigiu vários outros bugs wormable, impactando o Windows DNS Server (também conhecido como SIGRed ), a plataforma Remote Desktop Services (RDS) (também conhecida como BlueKeep ) e o protocolo Server Message Block v3 (também conhecido como SMBGhost ). .
Redmond também abordou outra vulnerabilidade do Windows HTTP RCE em maio de 2021 (rastreada como CVE-2021-31166 e também marcada como wormable ), para a qual os pesquisadores de segurança lançaram um código de exploração de demonstração que poderia acionar telas azuis da morte.
No entanto, os agentes de ameaças ainda precisam explorá-los para criar malware wormable capaz de se espalhar entre sistemas vulneráveis que executam software Windows vulnerável.