Windows PoC Exploit für Wormable RCE veröffentlicht

Cyber Security News

Der Exploit nutzt CVE-2021-31166 aus, einen Fehler mit einem CVSS-Score von 9.8, der in Microsofts Patch Tuesday-Veröffentlichung von letzter Woche der schlimmste der schlechten war.

Ein Forscher hat einen Proof-of-Concept (PoC)-Exploit für CVE-2021-31166 veröffentlicht, eine use-after-free, hochkritische Schwachstelle im HTTP-Protokollstapel (http.sys), die zu einer wurmfähigen Remotecodeausführung (RCE) führen kann.

Microsoft entdeckte den Fehler intern und veröffentlichte einen Patch in seinem Patch Tuesday Update vom 11. Mai. Dies war der schwerwiegendste Fehler in diesem Stapel: ein http.sys-Problem, für dessen Ausnutzung weder eine Benutzerauthentifizierung noch eine Benutzerinteraktion erforderlich ist. Ein Exploit würde RCE mit Kernel-Privilegien oder einen Denial-of-Service (DoS)-Angriff ermöglichen.

Laut einem Tweet von Justin Campbell von Microsoft wurde die Sicherheitslücke von @_mxms und @fzzyhd1 gefunden.

Glücklicherweise war dieser http.sys-Bug ein interner Fund unseres Teams. Ein Dankeschön an @_mxms, @fzzyhd1 und alle, die zu unserem Tooling und der Automatisierung beitragen. https://t.co/0ru9BQMaJ9

– Justin Campbell (@metr0) May 13, 2021

http.sys ermöglicht Windows und Anwendungen, mit anderen Geräten zu kommunizieren; es kann eigenständig oder in Verbindung mit Internet Information Services (IIS) ausgeführt werden.

Microsoft rät zu vorrangigem Patching

“In den meisten Situationen könnte ein nicht authentifizierter Angreifer ein speziell gestaltetes Paket an einen betroffenen Server senden, der den HTTP Protocol Stack (http.sys) zur Verarbeitung von Paketen nutzt”, erklärt Microsoft in seinem Advisory. Angesichts der Tatsache, dass die Schwachstelle durch einen Wurm ausgenutzt werden kann, empfiehlt Microsoft, die betroffenen Server vorrangig zu patchen.

“Mit einem CVSS-Score von 9,8 hat die angekündigte Schwachstelle das Potenzial, sowohl direkte Auswirkungen zu haben als auch außergewöhnlich einfach ausgenutzt zu werden, was zu einem entfernten und nicht authentifizierten Denial-of-Service (Blue Screen of Death) für betroffene Produkte führen kann”, sagte Steve Povolny von McAfee in einer Analyse der Schwachstelle zu dieser Zeit.

Povolny erklärte, dass das Problem in der Art und Weise liegt, wie Windows bei der Verarbeitung von Objekten in Netzwerkpaketen, die HTTP-Anfragen enthalten, Zeiger unsachgemäß verfolgt. Die Schwachstelle betrifft nur die neuesten Versionen von Windows 10 und Windows Server, was bedeutet, dass die Gefährdung für mit dem Internet verbundene Unternehmensserver “ziemlich begrenzt” ist, sagte er. Das liegt daran, dass auf vielen dieser Systeme Long Term Servicing Channel (LTSC)-Versionen wie Windows Server 2016 und 2019 laufen, die nicht anfällig für diese Schwachstelle sind.

Öffentliches Exploit für Wormable-Sicherheitslücke

Der Forscher Axel Souchet, der früher für Microsoft gearbeitet hat, veröffentlichte den PoC auf GitHub und bemerkte, dass der Fehler in http!UlpParseContentCoding auftritt, wo die Funktion eine lokale LIST_ENTRY hat und ein Element an diese anhängt. “Wenn sie fertig ist, verschiebt sie es in die Request-Struktur; aber sie löscht die lokale Liste nicht NULL”, erklärte er. “Das Problem dabei ist, dass ein Angreifer einen Code-Pfad auslösen kann, der jedes Element in der Liste freigibt. [entry] der lokalen Liste freigibt und sie im Request-Objekt baumeln lässt.”

Dies ist nicht der erste PoC-Exploit für CVE-2021-31166, den Souchet veröffentlicht hat, aber es ist der erste wurmfähige. Am Wochenende veröffentlichte er einen PoC, der nur das betroffene Windows-System sperrte, solange es einen IIS-Server ausführt. Dieser erste Exploit zeigt, wie ein Angreifer die Schwachstelle ausnutzen kann, um DoS auf einem Zielsystem zu verursachen, indem er ihm speziell gestaltete Pakete schickt.

Ich habe einen PoC für CVE-2021-31166 die “HTTP Protocol Stack Remote Code Execution Vulnerability” gebaut: https://t.co/8mqLCByvCp 🔥🔥 pic.twitter.com/yzgUs2CQO5

– Axel Souchet (@0vercl0k) May 16, 2021

Und so kurbelt der Exploit-Lebenszyklus wieder an

Die Veröffentlichung eines PoC-Codes wie diesem ist typischerweise der erste Schritt im Lebenszyklus eines Exploits. Wie Mayra Rosario Fuentes von Trend Micro am Montag auf der RSA Conference 2021 erklärte, ist der nächste Schritt in diesem Lebenszyklus, dass Gauner ihn verkaufen.

Nachdem eine Schwachstelle in freier Wildbahn aufgetaucht ist, geht sie in die Phase der öffentlichen Bekanntmachung über. Als nächstes flickt der Hersteller die Schwachstelle. Schließlich durchläuft diese Schwachstelle zwei Wege: Wenn sie gepatcht ist, war’s das, Ende der Lebensdauer. Wenn nicht, ist der Exploit immer noch da und wartet darauf, in Untergrundforen gekauft zu werden und auf die unglücklichen Opfer losgelassen zu werden, die noch nicht gepatcht haben.

Ein Beispiel ist der achtmonatige Lebenszyklus von CVE-2020-9054: ein Exploit, der im Februar 2020 im XSS-Forum für 20.000 Dollar verkauft wurde, über den der Cybersecurity-Journalist Brian Krebs schrieb, der im März 2020 von Microsoft veröffentlicht und gepatcht wurde und der einen Monat später von einem Botnet ausgenutzt wurde. Dieses Botnet, eine Variante des Mirai-Botnets namens Mukashi, das auf NAS-Geräte (Network-Attached Storage) von Zyxel abzielte, ermöglichte es Bedrohungsakteuren, Geräte aus der Ferne zu kompromittieren und zu kontrollieren.

Fünf Monate nach dem Patch, im August 2020, wurde in einem weiteren Forenbeitrag nach einem Exploit gefragt und eine günstige Zahlung von 2.000 US-Dollar angeboten. Das ist zwar nur ein Zehntel des ursprünglichen Exploits, aber ein solides Indiz dafür, dass manche Schwachstellen eine lange Lebensdauer haben – vor allem, wenn sie zum Knacken von Microsoft-Produkten verwendet werden. Microsoft-Exploits sind schließlich die mit Abstand am meisten nachgefragten und verkauften Exploit-Varianten auf dem Untergrundmarkt: Umso mehr sollten Sie den Rat von Microsoft beherzigen, das Patchen dieser Lücke zu priorisieren.

Laden Sie unser exklusives KOSTENLOSES Threatpost Insider eBook ” 2021: The Evolution of Ransomware” (Die Entwicklung von Ransomware), um Ihre Cyber-Abwehrstrategien gegen diese wachsende Geißel zu verfeinern. Wir gehen über den Status quo hinaus und decken auf, was als Nächstes auf Ransomware und die damit verbundenen neuen Risiken zukommt. Lesen Sie die ganze Geschichte und DOWNLOADen Sie das eBook jetzt – bei uns!

Einige Teile dieses Artikels stammen aus:
threatpost.com