Upozorňujeme na závažnou zranitelnost CVE-2021-31166 (CVSS 9.8) postihující HTTP Protocol Stack ve Windows Server a Windows 10. Jelikož byl ke zranitelnosti aktuálně zveřejněn proof-of-concept, lze očekávat zvýšené množství útoků vůči dosud neaktualizovaným systémům.

Zranitelnost umožňuje vzdálené spuštění kódu se systémovým oprávněním pomocí upraveného paketu, který zneužije chybu ve způsobu, jakým ovladač HTTP Protocol Stack (http.sys) na Windows IIS serveru příchozí pakety zpracovává. Zranitelné jsou kromě Windows Server i systémy s Windows 10, pokud jsou nakonfigurovány jako IIS web server, nebo jinak využívají ovladač http.sys například pro vzdálenou správu pomocí Windows Remote Management. Kromě zneužití zranitelnosti k prvotnímu přístupu do systému je též potenciálně možné automatizované šíření na další zranitelné stroje v síti.

Oprava CVE-2021-31166 je součástí Cumulative update vydaného 11.5. pro systémy Windows Server v. 2004, 20H1, 20H2 (včetně Server Core instalací) a Windows 10 v. 2004, 20H1, 20H2 na všech platformách. Všem provozovatelům těchto systémů doporučujeme provést bezodkladnou aktualizaci.


Více informací a naleznete na : https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-31166


https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-31166


https://www.zerodayinitiative.com/blog/2021/5/17/cve-2021-31166-a-wormable-code-execution-bug-in-httpsys


https://securityaffairs.co/wordpress/118015/hacking/poc-windows-iis-cve-2021-31166.html


https://github.com/0vercl0k/CVE-2021-31166


https://twitter.com/HenkPoley/status/1394309837304082439