2021年5月11日にMicrosoftが公表したhttp.sys に存在するリモートコード実行の脆弱性（CVE-2021-31166）[1]についての検証を実施し、脆弱性の悪用が可能であることを確認しました。

1. 本脆弱性の概要

http.sys は、HTTP プロトコルスタックを処理するカーネルモードドライバで、Windows マシンの Web サービスである Internet Information Services(IIS)などで利用されています。本脆弱性は、http.sys に存在する Use-After-Free(解放済みメモリ使用)の問題に起因します。この脆弱性が悪用された場合、攻撃者がリモートから任意のコードを実行できる可能性があります。
本脆弱性は CVSSv3 スコアが 9.8 と評価されています。また Blue Screen of Death(BSoD)を引き起こす概念実証(PoC)コードも確認されているため、本脆弱性が存在する環境では DoS 攻撃を受ける可能性があります。

図1. 本脆弱性を悪用した攻撃の例

図1は、本脆弱性に対する攻撃の一例として、脆弱性を含む IIS が稼働する Windows マシンに対し、攻撃者が細工した不正なリクエストを送信して、Windows マシン上で任意のコードを実行する例を示しています。

2. 本脆弱性の影響を受ける環境

本脆弱性の影響を受ける可能性があるバージョンは以下の通りです。[1]

3. 本脆弱性を利用した攻撃の検証

PoC コードを用いて本脆弱性に対する攻撃を試行し、脆弱性の悪用が可能であることを確認しました。

3.1. 検証環境

表1. 検証に使用した環境

3.2. 攻撃手法

本脆弱性が存在する疑似被害者に対して、疑似攻撃者から不正なリクエストを送信します。リクエストヘッダには、利用可能な圧縮アルゴリズムを伝える Accept-Encoding の値に、存在しないアルゴリズム名を複数指定します。このリクエストを疑似被害者が受信した際に、適切に処理を行うことに失敗することで BSoD が発生します。本検証では PoC コードを利用して不正なリクエストを送信することにより、本脆弱性の悪用を試みました。

3.3. 検証結果

図2に示す結果の通り、疑似被害者に対して疑似攻撃者から不正なリクエストを送信することで、BSoD を発生させることができました。

図2. PoC コードの実行と BSoD の発生

4. 本脆弱性に対する対策

4.1. 現在推奨されている対策

2021年5月31日現在、Microsoft より本脆弱性の修正パッチが提供されています。[2]

4.2. 不正アクセス監視機器による対策

当社が確認している不正アクセス監視機器の対応状況

各製品ベンダーの本脆弱性への対応状況に関する情報、および本検証による各製品での検知結果は以下の通りです。表2に公式シグネチャの提供状況を記載します。

表2. 製品ベンダーによるシグネチャ提供状況（2021年5月31日時点）

参考文献

機器別当社対応サービス

IDS/IPS

WAF

NGFW

総合サーバセキュリティ対策

更新履歴

2021/5/31 初版作成

※ 各規格名、会社名、団体名、製品名は、一般に各社の商標または登録商標です。