Microsoft द्वारा तय की गई नौ महत्वपूर्ण कमजोरियों में से जनवरी का पैच मंगलवार रिलीज, HTTP प्रोटोकॉल स्टैक में रिमोट कोड निष्पादन दोष (सीवीई-2022-21907) एक डोज़ी है। यह विंडोज सर्वर और क्लाइंट (कुछ भी जो http.sys चला सकता है) को प्रभावित करता है और इसकी CVSS रेटिंग 10.0 पैमाने पर 9.8 है। यह टेक टिप सैन्स टेक्नोलॉजी इंस्टीट्यूट के डीन ऑफ रिसर्च डॉ। जोहान्स बी। उलरिच से अंतर्दृष्टि साझा करती है कि आईटी प्रशासक कैसे जांच सकते हैं कि कौन से सिस्टम प्रभावित हैं।

भेद्यता HTTP ट्रेलर समर्थन सुविधा को लक्षित करती है, जो प्रेषक को मेटाडेटा की आपूर्ति के लिए संदेश में अतिरिक्त फ़ील्ड शामिल करने की अनुमति देती है। एक हमलावर पैकेट को संसाधित करने के लिए http.sys का उपयोग करके लक्ष्य सर्वर पर विशेष रूप से तैयार किए गए पैकेट भेजकर इस दोष का फायदा उठाने में सक्षम होगा।

“http.sys के माध्यम से कोड चलाना एक संपूर्ण सिस्टम समझौता हो सकता है,” Ullrich लिखता है भेद्यता पर SANS संस्थान का अक्सर पूछे जाने वाले प्रश्न पृष्ठ.

सबसे ज्यादा चिंता की बात यह है कि माइक्रोसॉफ्ट का कहना है कि यह दोष चिंताजनक है, जिसका अर्थ है कि एक कमजोर विंडोज बॉक्स से दूसरे में फैलने के लिए मानव संपर्क की आवश्यकता नहीं है। एक बार जब कोई हमलावर एक सिस्टम से समझौता कर लेता है, तो वह आसानी से पूरे संगठन के पूरे इंट्रानेट में फैल सकता है। संगठनों को प्रभावित प्रणालियों को खोजने और अद्यतनों को यथाशीघ्र परिनियोजित करने के लिए प्रोत्साहित किया जाता है।

मैं अपने सिस्टम की जांच कैसे करूं?

दोष विंडोज 10 और विंडोज 11, साथ ही सर्वर 2019 और सर्वर 2022 को प्रभावित करता है। ऐसा प्रतीत होता है कि कमजोर कोड विंडोज सर्वर 2019 और विंडोज 10 संस्करण 1809 में पेश किया गया था – लेकिन डिफ़ॉल्ट रूप से अक्षम है। Ullrich सिस्टम पर भेद्यता मौजूद है या नहीं यह निर्धारित करने के लिए रजिस्ट्री मानों की जांच करने के लिए निम्न PowerShell क्वेरी का सुझाव देता है:

Get-ItemProperty “HKLM:SystemCurrentControlSetServicesHTTPParameters” | चयन-वस्तु सक्षम ट्रेलर समर्थन

यह भी संभव है कि http.sys का उपयोग करने वाले अन्य सॉफ़्टवेयर Microsoft इंटरनेट सूचना सेवा (IIS), WinRM (Windows दूरस्थ प्रबंधन) और WSDAPI (उपकरणों के लिए वेब सेवाएँ) सहित भेद्यता को उजागर कर रहे हों। Ullrich नोट करता है कि http.sys को “IIS के अंदर मुख्य HTTP इंजन के रूप में वर्णित किया जा सकता है।” http.sys का उपयोग करने वाली सभी प्रक्रियाओं को सूचीबद्ध करने के लिए व्यवस्थापक netsh कमांड का उपयोग कर सकते हैं।

netsh http शो सर्विसस्टेट

क्या मुझे तुरंत पैच करना होगा?

Microsoft शोषण क्षमता को “अधिक संभावित रूप से शोषण” के रूप में रेट करता है और इस भेद्यता को जल्द से जल्द ठीक करने की अनुशंसा करता है। चीजों को संदर्भ में रखने के लिए, जब Microsoft ने पिछले मई में HTTP प्रोटोकॉल स्टैक (CVE-2021-31166) में एक समान खराब रिमोट कोड निष्पादन दोष को पैच किया, तो प्रूफ-ऑफ-कॉन्सेप्ट कोड को ऑनलाइन पोस्ट करने में एक सप्ताह से भी कम समय लगा।

इसकी महत्वपूर्ण रेटिंग के बावजूद, वास्तविक शोषण उतना हानिकारक नहीं हो सकता जितना हो सकता है, उलरिच को चेतावनी देता है। “पिछली कमजोरियों का कभी भी पूरी तरह से दोहन नहीं किया गया था क्योंकि शोषण को कम करने के लिए कई तकनीकों का इस्तेमाल किया गया था, और जारी किए गए पीओसी केवल सेवा से इनकार करने में सक्षम थे,” वे कहते हैं। 2015 में IIS में http.sys को प्रभावित करने वाले पूर्णांक अतिप्रवाह भेद्यता के लिए एक “समान फायर ड्रिल” था, लेकिन यह “कभी भी अधिक मात्रा में नहीं हुआ।”

Ullrich नोट करता है कि एक वेब एप्लिकेशन फ़ायरवॉल ट्रेलरों के साथ अनुरोधों को अवरुद्ध करने में सक्षम होगा (जहां दुर्भावनापूर्ण कोड छुपाया जाएगा)। यह संगठनों को कुछ समय खरीद सकता है क्योंकि वे परिनियोजन कार्यक्रम का पता लगाते हैं। फिलहाल, आईटी टीमों के पास किसी भी पीओसी या कारनामे प्रकाशित होने से पहले उनके जोखिम का आकलन करने और पाए गए मुद्दों को कम करने के लिए अवसर की एक खिड़की है।


Source link

LEAVE A REPLY

Please enter your comment!
Please enter your name here