Windows HTTP协议栈远程代码漏洞执行CVE-2022-21907

https://github.com/antx-code/CVE-2022-21907

• CVE-2022-21907 的 POC：Windows HTTP 协议栈远程代码执行漏洞
• 由 antx 在 2022-01-17 创建。

细节

• HTTP 协议栈远程代码执行漏洞。
• 类似于CVE-2021-31166。
• 这个问题从去年开始就存在，在CVE-2021-31166上报告，并且仍然存在。

CVE 严重性

• 攻击复杂性：低
• 攻击向量：网络
• 可用性影响：高
• 机密性影响：高
• 完整性影响：高
• 特权要求：无
• 范围：不变
• 用户交互：无
• 版本：3.1
• 基础分数：9.8
• 基础严重性：严重

影响

• 视窗
  • 10 32 位系统的 1809 版
  • 10 用于基于 x64 的系统的 1809 版
  • 10 基于 ARM64 的系统的 1809 版
  • 10 用于 32 位系统的 21H1 版本
  • 10 用于基于 x64 的系统的 21H1 版本
  • 10 基于 ARM64 的系统的 21H1 版本
  • 10 用于 32 位系统的 20H2 版本
  • 10 用于基于 x64 的系统的 20H2 版本
  • 10 用于基于 ARM64 的系统的 20H2 版本
  • 10 用于 32 位系统的 21H2 版本
  • 10 用于基于 x64 的系统的 21H2 版本
  • 10 基于 ARM64 的系统的 21H2 版本
  • 11 用于基于 x64 的系统
  • 11 用于基于 ARM64 的系统
• 视窗服务器
  • 2019
  • 2019（核心安装）
  • 2022
  • 2022（服务器核心安装）
  • 版本 20H2（服务器核心安装）

缓解措施

• 默认情况下，Windows Server 2019 和 Windows 10 版本 1809 不易受到攻击。除非您已通过 EnableTrailerSupport 注册表值启用 HTTP Trailer Support，否则系统不会受到攻击。
• 删除 DWORD 注册表值“EnableTrailerSupport”（如果存在于以下位置）：HKEY_LOCAL_MACHINE \ System \C urrentControlSet \S ervices \H TTP \参数
• 此缓解仅适用于 Windows Server 2019 和 Windows 10 版本 1809，不适用于 Windows 20H2 和更高版本。

常问问题

• 攻击者如何利用此漏洞？
  • 在大多数情况下，未经身份验证的攻击者可以利用 HTTP 协议栈 (http.sys) 将特制数据包发送到目标服务器来处理数据包。
• 这是可蠕虫的吗？
  • 是的。Microsoft 建议优先修补受影响的服务器。
• Windows 10 版本 1909 不在安全更新表中。是否受此漏洞影响？
  • 不，易受攻击的代码在 Windows 10 版本 1909 中不存在。它不受此漏洞的影响。
• EnableTrailerSupport 注册表项是否存在于 Windows Server 2019 和 Windows 10 版本 1809 以外的任何其他平台中？
  • 不，注册表项仅存在于 Windows Server 2019 和 Windows 10 版本 1809 中

参考

• 参考源
  • https://github.com/mauricelambert/CVE-2022-21907
  • https://github.com/nu11secur1ty/Windows10Exploits/tree/master/2022/CVE-2022-21907
• 参考风险
  • HTTP 协议栈远程代码执行漏洞
  • NVD<CVE-2022-21907>
• CVE
  • CVE-2022-21907
  • CVE-2022-21907
• 参考相关
  • CVE-2021-31166