奇安信CERT

致力于第一时间为企业级用户提供安全风险通告和有效解决方案。

近日，奇安信CERT监测到微软官方公开并修复了MicrosoftWindowsHTTP协议栈远程代码执行漏洞（CVE-2022-21907），未经身份认证的远程攻击者可通过向目标Web服务器发送特制的HTTP请求来利用此漏洞，从而在目标系统上执行任意代码。利用此漏洞不需要身份认证和用户交互，微软官方将其标记为蠕虫漏洞，并建议优先修补受此漏洞影响的服务器。奇安信CERT已复现此漏洞的拒绝服务场景，可导致目标主机崩溃。

目前官方已发布修复补丁，鉴于此漏洞危害极大，奇安信CERT强烈建议客户尽快自查服务器的安全状况并更新补丁。

本次更新内容：

新增漏洞影响版本；

更新处置建议；

更新产品线解决方案

当前漏洞状态

漏洞描述

MicrosoftWindowsHTTP协议栈（HTTP.sys）是一个位于Windows操作系统中核心组件，常见于应用之间或设备之间通信，以及InternetInformationServices(IIS)中。

近日，奇安信CERT监测到微软官方公开并修复了MicrosoftWindowsHTTP协议栈远程代码执行漏洞（CVE-2022-21907），未经身份认证的远程攻击者可通过向目标Web服务器发送特制的HTTP请求来利用此漏洞，从而在目标系统上执行任意代码。利用此漏洞不需要身份认证和用户交互，微软官方将其标记为蠕虫漏洞，并建议优先修补受此漏洞影响的服务器。奇安信CERT已复现此漏洞的拒绝服务场景，可导致目标主机崩溃。

目前官方已发布修复补丁，由于此漏洞危害极大，奇安信CERT强烈建议客户尽快修复漏洞并自查服务器的安全状况。

1、CVE-2022-21907MicrosoftWindowsHTTP协议栈远程代码执行漏洞

奇安信CERT已复现MicrosoftWindowsHTTP协议栈远程代码执行漏洞（CVE-2022-21907），复现截图如下：

风险等级

奇安信CERT风险评级为：极危

风险等级：蓝色（一般事件）

影响版本

此漏洞影响启用了使用HTTP.sys的应用程序（如IIS）的以下版本的Windows或WindowsServer主机：

WindowsServer,version20H2(ServerCoreInstallation)

WindowsServer2022(ServerCoreinstallation)

WindowsServer2019(ServerCoreinstallation)

Windows11forx64-basedSystems

Windows11forARM64-basedSystems

Windows10Version21H2forx64-basedSystems

Windows10Version21H2forARM64-basedSystems

Windows10Version21H2for32-bitSystems

Windows10Version21H1forx64-basedSystems

Windows10Version21H1forARM64-basedSystems

Windows10Version21H1for32-bitSystems

Windows10Version20H2forx64-basedSystems

Windows10Version20H2forARM64-basedSystems

Windows10Version20H2for32-bitSystems

Windows10Version1809forx64-basedSystems

Windows10Version1809forARM64-basedSystems

Windows10Version1809for32-bitSystems

需要注意的是，WindowsServer2019和Windows101809默认情况下包含漏洞代码的功能未启用，开启该功能需要修改注册表。

处置建议

1、漏洞检测

此漏洞影响启用了使用HTTP.sys的应用程序（如IIS）的主机。用户可在Window+R中输入winver并回车，在弹出的窗口中可查看自身系统版本。默认情况下，WindowsServer2019和Windows10version1809不易受到攻击。只有手动修改EnableTrailerSupport注册表值启用了HTTPTrailerSupport功能才会受此漏洞影响。对于WindowsServer2019和Windows10version1809，可通过查看HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters注册表项中是否存在EnableTrailerSupport来检测是否受此漏洞影响。使用以下PowerShell命令检查该功能是否开启，如果此键值存在且不为0，则受此漏洞影响：

Get-ItemProperty"HKLM:\System\CurrentControlSet\Services\HTTP\Parameters"|Select-ObjectEnableTrailerSupport

2、漏洞修复

使用奇安信天擎的客户可以通过奇安信天擎控制台一键更新修补相关漏洞，也可以通过奇安信天擎客户端一键更新修补相关漏洞。

也可以采用以下官方解决方案及缓解方案来防护此漏洞：

Windows自动更新

Windows系统默认启用MicrosoftUpdate，当检测到可用更新时，将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新：

1、点击“开始菜单”或按Windows快捷键，点击进入“设置”

2、选择“更新和安全”，进入“Windows更新”

3、选择“检查更新”，等待系统将自动检查并下载可用更新

4、重启计算机，安装更新

系统重新启动后，可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新，可以点击该更新名称进入微软官方更新描述链接，点击最新的SSU名称并在新链接中点击“Microsoft更新目录”，然后在新链接中选择适用于目标系统的补丁进行下载并安装。

手动安装补丁

如果无法自动更新，可参考以下链接安装相应版本的补丁程序来修复此漏洞：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21907

产品解决方案

奇安信天擎终端安全管理系统解决方案

奇安信天擎终端安全管理系统并且有漏洞修复相关模块的用户，可以将补丁库版本更新到：2022.01.12.1及以上版本，对内网终端进行补丁更新。

推荐采用自动化运维方案，如果控制中心可以连接互联网的用户场景，建议设置为自动从奇安信云端更新补丁库至2022.01.12.1版本。

控制中心补丁库更新方式：每天04:00-06:00自动升级，升级源为从互联网升级。

纯隔离网内控制中心不能访问互联网，不能下载补丁库和补丁文件，需使用离线升级工具定期导入补丁库和文件到控制中心。

奇安信天眼检测方案

奇安信天眼新一代安全感知系统已经能够有效检测针对该漏洞的攻击，请将规则版本升级到3.0.0112.13199或以上版本。规则ID及规则名称：

0x10020E46，WindowsHTTP协议栈远程执行代码漏洞。奇安信天眼流量探针规则升级方法：系统配置->设备升级->规则升级，选择“网络升级”或“本地升级”。

奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器（NDS5000/7000/9000系列）产品，已具备该漏洞的检测能力。规则ID为：7187，建议用户尽快升级检测规则库至2201131433以后版本并启用该检测规则。

奇安信网神统一服务器安全管理平台更新入侵防御规则库

奇安信网神虚拟化安全轻代理版本将于1月14日发布入侵防御规则库2022.01.14版本，支持对HTTP协议栈远程代码执行漏洞(CVE-2022-21907)的防护，届时请用户联系技术支持人员获取规则升级包对轻代理版本进行升级。

奇安信网神统一服务器安全管理平台将于1月14日发布入侵防御规则库10540版本，支持对HTTP协议栈远程代码执行漏洞(CVE-2022-21907)的防护，届时请用户联系技术支持人员获取规则升级包对融合版本进行升级。

参考资料

[1]https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21907

时间线

2022年1月13日，奇安信CERT发布安全风险通告

2022年1月14日，奇安信CERT发布安全风险通告第二次更新

到奇安信NOX-安全监测平台查询更多漏洞详情

奇安信CERT长期招募安全研究员