Operační systém Windows obsahuje přímo v jádře knihovnu HTTP.SYS, která se stará o zpracování příchozích HTTP spojení (pokud počítač funguje jako web server). A ta knihovna ve verzích 20H2 a 2004 (jak pro Windows 10, tak Windows Server) obsahuje velice nepříjemnou chybu. Nemá žádné sexy jméno jako Heartbleed nebo Shellshock a „CVE 2021-31166 HTTP Protocol Stack Remote Code Execution Vulnerability“ nevypadá na první pohled nijak zvlášť zajímavě.

Tento článek patří do placené sekce.

Pro vás jej odemknul někdo, kdo má předplatné.


Pokud budete předplatitelem, budete moci stejným způsobem odemykat placené články i pro své přátele.
A získáte i řadu dalších výhod.

První zdání ovšem klame. Jedná se o chybu s nejvyšší úrovní závažnosti (critical). A z dobrých důvodů:

  • Jedná se o „remote code execution“ chybu, která umožňuje útočníkovi vykonat na serveru vlastní kód, a to pod vysokými oprávněními.
  • Útočník nemusí nijak ověřit svou totožnost/práva k přístupu.
  • Porty pro webovou službu bývají na serverech často volně dostupné z Internetu, protože na nich běží veřejné nebo poloveřejné služby.
  • Chyba je „wormable“, tj. lze vytvořit malware, který se bude z napadených počítačů dál šířit, což hrozí vysokým počtem nakažených počítačů.

Chyba se navíc netýká jenom web serverů, ale i dalších serverů a klientských stanic. Napadnutelnou systémovou knihovnu HTTP.SYS totiž využívá i funkce WinRM, Windows Remote Management, která bývá ve firmách – z dobrých důvodů – povolená na pracovních stanicích i serverech. Existují i další, méně rozšířené služby, které stejné API využívají. Například Web Services on Devices (WSDAPI), případně různé implementace třetích stran.

Chyba se v zásadě netýká běžných domácích uživatelů. Ti na svých počítačích obvykle web servery ani WinRM neprovozují, a pokud náhodou ano, od útoku je odstíní běžné domácí routery. Ohroženy jsou servery a pracovní stanice zejména ve větších firmách.

Z hlediska serverů je největší limitující faktor rozšíření to, že se týká jenom Windows Serveru verze 2004 (20H1) a 20H2 v Core instalaci, ne klasického „Windows Serveru 2019“, který je minimálně v našich končinách rozšířenější.

 

Související

Na toto chybu již druhý týden existuje záplata. Microsoft ji vydal 11. května 2021 v rámci „patch Tuesday“ a na počítačích s výchozím nastavením aktualizací by již měla být automaticky nainstalována. Microsoft chybu objevil interně, ale dnes získala na závažnosti, protože Axel Souchet zveřejnil proof of concept kód, který chybu umožňuje využít. Je tedy pravděpodobné, že se velice rychle objeví malware využívající chybu „in the wild“, tedy reálně napadající počítače.

Připojuji se k doporučení Microsoftu, který radí „prioritizovat instalaci oprav na zasažené servery“. Tedy přeloženo, servery aktualizujte teď hned, neboť jinak hrozí pěkný průšvih.

Související

Líbil se vám článek? Chcete víc takových článků?

Kupte si předplatné a můžete si je číst všechny. Navíc bez reklam a s možností odemykat placené články pro přátele.

Vyzkoušejte předplatné HN+
Newsletter

Týden s technologiemi Otakara Schöna

Události posledního týdne ve světě technologií podle Otakara Schöna

Editor rubriky Tech Otakar Schön pro Vás vybírá nejzajímavější nebo nejzásadnější události ze světa moderních technologií, které se odehrály v uplynulém týdnu. Každý pátek v podvečer najdete ve své mailové schránce.

Přihlášením k newsletteru beru na vědomí, že mé osobní údaje budou zpracovány dle Zásad ochrany osobních a dalších zpracovávaných údajů, a souhlasím se Všeobecnými obchodními podmínkami vydavatelství Economia, a.s. Z odběru se můžete kdykoli odhlásit.

Přihlásit se k odběru