CVE-2021-31166

Microsoft HTTP Protocol Stack

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-04-06

Официальное описание

Microsoft HTTP Protocol Stack contains a vulnerability in http.sys that allows for remote code execution.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2021-31166) — это уязвимость удаленного выполнения кода (RCE) в драйвере HTTP-стека http.sys в Windows. Атакующий может отправить специально сформированный HTTP-запрос на уязвимый сервер, что приведет к выполнению произвольного кода с правами SYSTEM и полному компрометированию системы.

Как исправить

Установите обновление безопасности от Microsoft, соответствующее вашей версии ОС Windows. Патч включен в ежемесячные накопительные обновления за май 2021 года.

  1. Определите версию ОС и номер сборки: bash systeminfo | findstr /B /C:"OS Name" /C:"OS Version"

  2. Установите обновление вручную:

    • Windows Server 2019, Windows 10 версии 1809: Установите обновление KB5003173.
    • Windows Server, version 2004, Windows 10 версии 2004: Установите обновление KB5003173.
    • Windows Server 2016, Windows 10 версии 1607: Установите обновление KB5003197.
    • Windows Server 2012 R2: Установите обновление KB5003208.

  3. Или установите через PowerShell (с перезагрузкой): powershell Install-PackageProvider -Name NuGet -Force Install-Module PSWindowsUpdate -Force Get-WindowsUpdate -AcceptAll -Install -AutoReboot

Временное решение

Если немедленная установка патча невозможна, примените следующие меры:

  1. Ограничьте доступ к HTTP/HTTPS-портам (80/TCP, 443/TCP):

    • Настройте групповые политики (GPO) или локальный брандмауэр Windows, чтобы разрешить входящие подключения только с доверенных IP-адресов (например, сетей балансировщиков нагрузки или фронтенд-прокси). ```powershell

    Пример: Разрешить доступ только с IP 192.168.1.0/24

    New-NetFirewallRule -DisplayName "Allow HTTP from Trusted" -Direction Inbound -Protocol TCP -LocalPort 80,443 -RemoteAddress 192.168.1.0/24 -Action Allow ```

  2. Настройте WAF (Web Application Firewall):

    • Если используется внешний WAF (например, Cloudflare, Azure WAF), активируйте режим защиты от эксплойтов или emergency-режим.
    • Настройте правила для блокировки аномальных или слишком больших HTTP-заголовков, которые могут использоваться в атаке.

  3. Отключите службу HTTP (Крайняя мера!):

    • Это нарушит работу всех веб-служб (IIS, WCF и др.), использующих http.sys. powershell sc config http start= disabled net stop http /y
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей