漏洞復現！Windows HTTP Protocol Stack遠端程式碼執行漏洞（CVE-2022-21907）

漏洞細節	漏洞POC	漏洞EXP	在野利用
否	公開	未知	未知

Windows HTTP  protocol stack （HTTP.sys）是Windows處理HTTP請求的核心驅動程式。 其常見於Web瀏覽器與 Web 伺服器之間的通訊，以及Internet Information Services (IIS)中。

2022年1月11日，360漏洞雲監測到Microsoft釋出1月安全更新，其中修復了HTTP Protocol Stack遠端程式碼執行漏洞。漏洞編號：CVE-2022-21907，漏洞威脅等級：嚴重，漏洞評分：9.8。 目前，360漏洞雲已復現該漏洞。

經360漏洞雲安全專家研判，HTTP Protocol Stack是全球使用廣泛的系統元件。 該漏洞影響19個Windows系統的多個版本， 該漏洞是嚴重且可蠕蟲的，可以通過網路自我傳播而無需使用者互動，官方已經發布該產品的最新版本，建議使用者儘快升級元件，修復緩解該漏洞。

HTTP Protocol Stack遠端程式碼執行漏洞

HTTP Protocol Stack遠端程式碼執行漏洞
漏洞編號	CVE-2022-21907
漏洞型別	遠端程式碼執行
漏洞等級	嚴重（9.8）
公開狀態	已發現
在野利用	未知
漏洞描述	未授權的遠端攻擊者通過向 Web 伺服器傳送一個特製的 HTTP 請求，觸發緩衝區溢位，從而在目標系統上造成伺服器拒絕服務或執行任意程式碼。 該漏洞可能允許攻擊者通過向利用 HTTP 協議棧 (http.sys) 處理資料包的系統傳送特製資料包來獲得受影響系統上的程式碼執行。 該漏洞是嚴重且可蠕蟲的，可以通過網路自我傳播而無需使用者互動。

360漏洞雲團隊研判，本漏洞是由於Widows系統中HTTP核心元件引起，影響到對依託於該元件的IIS服務，以及使用了Windows HTTP元件二次開發出的定製化HTTP服務，針對該漏洞，360漏洞雲團隊依託公司的quake（https://quake.360.cn/quake/）進行影響面分析，分析語法如下：

server: "Microsoft-IIS"

排除蜜罐、去除重複資料，360 quake監測到全球共10853932（約1085萬）個服務存在該漏洞風險，其中美國、中國、德國、日本、印度等五大國家受到的影響比較嚴重。

country: "China" AND server: "Microsoft-IIS"

同時，分析去除蜜罐、重複資料，發現國內有2230768（約223萬）個服務存在潛在風險，其中香港、浙江、北京、廣東、上海、臺灣、山東、江蘇等八大區域受到的影響比較嚴重。

風險級別	CVSS評分
嚴重	9.8
攻擊方式	攻擊複雜性
網路	低
特權要求	使用者互動
不需要	不需要
機密影響	完整性影響
高危	高危
可用性影響	範圍影響
高危	更改

此漏洞影響啟用了使用 HTTP.sys 的應用程式（如IIS）的以下版本的Windows或Windows Server主機：

1.WindowsServer, version 20H2 (Server Core Installation)

2.WindowsServer 2022 (Server Core installation)

3.WindowsServer 2022

4.WindowsServer 2019 (Server Core installation)

5.WindowsServer 2019

6.Windows11 for x64-based Systems

7.Windows11 for ARM64-based Systems

8.Windows10 Version 21H2 for x64-based Systems

9.Windows10 Version 21H2 for ARM64-based Systems

10.Windows10 Version 21H2 for 32-bit Systems

11.Windows10 Version 21H1 for x64-based Systems

12.Windows10 Version 21H1 for ARM64-based Systems

13.Windows10 Version 21H1 for 32-bit Systems

14.Windows10 Version 20H2 for x64-based Systems

15.Windows10 Version 20H2 for ARM64-based Systems

16.Windows10 Version 20H2 for 32-bit Systems

17.Windows10 Version 1809 for x64-based Systems

18.Windows10 Version 1809 for ARM64-based Systems

19.Windows10 Version 1809 for 32-bit Systems

2022年01月17日17點08分，360漏洞雲安全專家已第一時間復現上述漏洞，演示如下：

CVE-2022-21907

完整POC程式碼已在360漏洞雲情報平臺（https://loudongyun.360.cn/）釋出，360漏洞雲情報平臺使用者可通過平臺下載進行安全自檢。

臨時解決方案

若使用Windows Server 2019和Windows 10 version 1809版本的使用者暫時無法安裝補丁，在預設情況下，包含該漏洞的功能不活躍。

可進行如下排查：

若登錄檔啟用了“EnableTrailerSupport”，在登錄檔中刪除“EnableTrailerSupport”可防護此漏洞的攻擊。

“EnableTrailerSupport”的路徑為：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters

正式修復方案

目前微軟已釋出相關安全更新，鑑於漏洞的嚴重性，建議受影響的使用者儘快修復。

1.  Windows 自動更新

Microsoft Update預設啟用，當系統檢測到可用更新時，將會自動下載更新並在下一次啟動時安裝。

①點選“開始選單”或按Windows快捷鍵，點選進入“設定”

②選擇“更新和安全”，進入“Windows更新”（Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通過控制面板進入“Windows更新”，具體步驟為“控制面板”->“系統和安全”->“Windows更新”）

③選擇“檢查更新”，等待系統將自動檢查並下載可用更新。

④重啟計算機，安裝更新系統重新啟動後，可通過進入“Windows更新”->“檢視更新歷史記錄”檢視是否成功安裝了更新。對於沒有成功安裝的更新，可以點選該更新名稱進入微軟官方更新描述連結，點選最新的SSU名稱並在新連結中點選“Microsoft 更新目錄”，然後在新連結中選擇適用於目標系統的補丁進行下載並安裝。

2. 手動安裝更新

對於部分不能自動更新的系統版本，可前往Microsoft官方下載相應補丁進行更新。

下載連結如下：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21907

與此同時，請做好資產自查以及預防工作，以免遭受黑客攻擊。

2022-01-11

360漏洞雲監測到Microsoft釋出1月補丁更新，修復了Microsoft Windows HTTP 協議棧遠端程式碼執行漏洞（CVE-2022-21907），並及時推送了漏洞安全預警。

2022-01-17 17:08

360漏洞雲已第一時間成功復現該漏洞。

三六零雲探安全監測系統，是一款面向黨政軍、金融、教育和網際網路使用者的綜合型SaaS化網站應用安全監測服務產品，可有效監測網站的異常，發現企業網站的安全問題，目前已可以針對此漏洞進行安全監測。

三六零磐雲安全防護系統，是集合網站配置、防護、加速、管理於一體的基於SaaS化安全防護產品，旨在解決使用者網站安全問題，目前已可以針對此漏洞進行安全防護。

360AISA全流量威脅分析系統，是基於360海量安全大資料及豐富的攻防實戰經驗，利用AI、機器學習等技術研發的新一代威脅感知產品，能夠精準發現攻擊入侵行為、高階威脅活動，目前已可以針對此漏洞進行安全防護。

360本地安全大腦，是將360雲端安全大腦核心能力本地化部署的一套開放式全場景安全運營平臺，實現安全態勢、監控、分析、溯源、研判、響應、管理的智慧化安全運營賦能。360本地安全大腦目前已可以針對此漏洞進行安全防護。