Exploit für Windows 10 HTTP-Protokollfehler veröffentlicht

Microsoft hat beim jüngsten Patch-Day eine Zero-Day-Schwachstelle in Windows 10 geschlossen. Nun wurde ein Exploit dazu veröffentlicht, der zeigt, wie Hacker die Schwachstelle ausnutzen könnten, um auf einen noch nicht aktualisierten Rechner zuzugreifen. Das meldet das Online-Magazin Bleeping Computer. Der Sicherheitsforscher Axel Souchet hat den Proof-of-Concept-Code auf GitHub veröffentlicht. Ausgenutzt wird dabei die unter CVE-2021-31166 geführte Sicherheitslücke in Windows 10. Microsoft hat mit dem Patch-Day Mai bereits die Sicherheitslücke geschlossen. Das Update KB5003173 für Windows 10 Version 2004, 20H2 und 21H1 adressiert den Fehler.

Angriffscode

Dem Proof-of-Concept-Code fehlt laut Bleeping Computer die Fähigkeit zur automatischen Ausbreitung. Böswillige Akteure könnten aber ihren eigenen Code entwickeln, der dem seinen ähnelt, um Remotecodeausführung durchzuführen und ungepatchte Systeme zu übernehmen. Die Ausführung von Souchets Demonstrationscode löst einen Blue Screen of Death aus.

Souchet erklärt dazu: "Der Fehler selbst passiert in http!UlpParseContentCoding, wo die Funktion ein lokales LIST_ENTRY hat und ein Element an dieses anhängt. Wenn sie damit fertig ist, verschiebt sie es in die Request-Struktur; aber sie löscht die lokale Liste nicht mit NULL. Das Problem dabei ist, dass ein Angreifer einen Code-Pfad auslösen kann, der alle Einträge der lokalen Liste freigibt und sie im Request-Objekt stehen lässt."

Microsoft empfiehlt, vorrangig alle betroffenen Server zu patchen, da der Fehler wurmfähig ist und ein nicht authentifizierter Angreifer in den meisten Fällen ein speziell gestaltetes Paket an einen Zielserver senden könnte, der den HTTP-Protokollstapel (HTTP.sys) zur Verarbeitung von Paketen nutzt.

Systeme, auf denen die neueste Version von Windows 10 läuft und die vollständig gepatcht sind, sind laut dem Konzern vor Angriffen abgesichert.

Download Windows 10: Kumulativer Patch