Sicherheitsanfälligkeit im HTTP-Protokoll-StackUnd wieder droht Remotecode-Ausführung
18. Januar 2022Microsoft hat im Zuge des letzten Patch Tuesday eine kritische Sicherheitslücke in „http.sys“ geschlossen. Die Sicherheitslücke ist auch unter der CVE-Nummer „CVE-2022-21907“ bekannt, derzeit gibt es noch keinen eingängigen Namen für die Schwachstelle. Es handelt sich um ein weit verbreitetes Modul für Webserver in Windows.
Microsoft beschreibt die Schwachstelle als anfällig für Internet Worms und empfiehlt, Patches für diese Schwachstelle vorrangig zu installieren. Betroffen sind die meisten neueren Versionen von Windows. Dazu verdeutlicht Dr. Johannes Ullrich, Forschungsleiter des SANS Technology Institute und Gründer des Internet Storm Center die Problematik.
Wann wird die Schwachstelle ausgenutzt werden?
Ullrich: Das ist aktuell ungewiss. Microsoft zufolge ist die Ausnutzbarkeit derzeit „wahrscheinlicher“. Ich empfehle, die Sicherheitslücke noch in dieser Woche zu patchen.
Welche Versionen sind betroffen?
Ullrich: Der Hinweis von Microsoft ist etwas seltsam formuliert. Zum jetzigen Zeitpunkt entnehme ich dem Hinweis: Der anfällige Code wurde in Windows Server 2019 und Windows 10 Version 1809 eingeführt. In diesen Windows-Versionen war jedoch standardmäßig ein Registrierungsschlüssel gesetzt, der die Funktion deaktivierte. Alle späteren Versionen sind inhärent angreifbar.
Bin ich anfällig, wenn ich Internet Information Server (IIS) nicht aktiviert habe?
Ullrich: Möglicherweise, es handelt sich nicht um eine IIS-Schwachstelle, sondern um eine Schwachstelle in http.sys. Der Webserver http.sys lässt sich wohl am besten als die zentrale HTTP-Engine in IIS beschreiben. Aber andere Software, die http.sys verwendet und möglicherweise die Sicherheitslücke ausnutzt, setzt http.sys ein, so beispielsweise WinRM (Windows Remote Management) und WSDAPI (Web Services for Devices).
Was kann ein Angreifer mit dieser Sicherheitslücke anstellen?
Ullrich: Microsoft hat http.sys als Kernel-Mode-Treiber implementiert. Mit anderen Worten: Die Ausführung von Code über http.sys kann zu einer vollständigen Kompromittierung des Systems führen. Frühere Schwachstellen (z. B. CVE-2021-31166) wurden jedoch nie vollständig ausgenutzt, da verschiedene Techniken zur Abschwächung der Ausnutzung verwendet wurden und die veröffentlichten PoCs nur eine Dienstverweigerung verursachen konnten. Der CVSS 3.1-Basiswert für die Sicherheitslücke beträgt 9,8 von 10.
Kann eine Web Application Firewall helfen?
Ullrich: Wahrscheinlich ja, es könnte damit begonnen werden (auf eigenes Risiko), Anfragen mit Trailern zu blockieren. Vielleicht sollten diese zunächst protokolliert werden, um zu sehen, ob sie rechtmäßig verwendet werden. Einzelheiten bieten hierzu die Webanwendungs-Firewall-Anbieter.
Worum geht es bei diesen „Trailern“ überhaupt?
Ullrich: Trailer sind in RFC7230 definiert. Sie haben nur Sinn, wenn „Transfer-Encoding: chunked“ verwendet wird. Bei chunked encoding wird der Body einer Anfrage oder Antwort in kleinen Chunks übertragen. Jedem Chunk wird eine Länge in Bytes vorangestellt. Die Idee dahinter ist, dass beim Senden einer Nachricht nicht bekannt ist, wie lang diese sein wird. Außerdem kann der Absender bei der Chunked-Codierung die Übermittlung von Headern bis zur Übermittlung des Hauptteils aufschieben. Diese werden zu „Trailern“.
Frederike Beissert
SANS Technology Institute,
Internet Storm Center