Operační systém Windows obsahuje přímo v jádře knihovnu HTTP.SYS, která se stará o zpracování příchozích HTTP spojení (pokud počítač funguje jako web server). A ta knihovna ve verzích 20H2 a 2004 (jak pro Windows 10, tak Windows Server) obsahuje velice nepříjemnou chybu. Nemá žádné sexy jméno jako Heartbleed nebo Shellshock a „CVE 2021-31166 HTTP Protocol Stack Remote Code Execution Vulnerability“ nevypadá na první pohled nijak zvlášť zajímavě.

Nedávno jste již předplatné aktivoval

Je nám líto, ale nabídku na váš účet v tomto případě nemůžete uplatnit.

Pokračovat na článek

Tento článek pro vás někdo odemknul

Obvykle jsou naše články jen pro předplatitele. Dejte nám na sebe e-mail a staňte se na den zdarma předplatitelem HN i vy!

Navíc pro vás chystáme pravidelný výběr nejlepších článků a pohled do backstage Hospodářských novin.

Zdá se, že už se známe

Pod vámi uvedenou e-mailovou adresou již evidujeme uživatelský účet.

Děkujeme, teď už si užijte váš článek zdarma

Na váš e-mail jsme odeslali bližší informace o vašem předplatném.

Od tohoto okamžiku můžete číst neomezeně HN na den zdarma. Začít můžete s článkem, který pro vás někdo odemknul.

Na váš e-mail jsme odeslali informace k registraci.

V e-mailu máte odkaz k nastavení hesla a dokončení registrace. Je to jen pár kliků, po kterých můžete číst neomezeně HN na den zdarma. Ale to klidně počká, zatím si můžete přečíst článek, který pro vás někdo odemknul.

Pokračovat na článek

První zdání ovšem klame. Jedná se o chybu s nejvyšší úrovní závažnosti (critical). A z dobrých důvodů:

  • Jedná se o „remote code execution“ chybu, která umožňuje útočníkovi vykonat na serveru vlastní kód, a to pod vysokými oprávněními.
  • Útočník nemusí nijak ověřit svou totožnost/práva k přístupu.
  • Porty pro webovou službu bývají na serverech často volně dostupné z Internetu, protože na nich běží veřejné nebo poloveřejné služby.
  • Chyba je „wormable“, tj. lze vytvořit malware, který se bude z napadených počítačů dál šířit, což hrozí vysokým počtem nakažených počítačů.

Chyba se navíc netýká jenom web serverů, ale i dalších serverů a klientských stanic. Napadnutelnou systémovou knihovnu HTTP.SYS totiž využívá i funkce WinRM, Windows Remote Management, která bývá ve firmách – z dobrých důvodů – povolená na pracovních stanicích i serverech. Existují i další, méně rozšířené služby, které stejné API využívají. Například Web Services on Devices (WSDAPI), případně různé implementace třetích stran.

Chyba se v zásadě netýká běžných domácích uživatelů. Ti na svých počítačích obvykle web servery ani WinRM neprovozují, a pokud náhodou ano, od útoku je odstíní běžné domácí routery. Ohroženy jsou servery a pracovní stanice zejména ve větších firmách.

Z hlediska serverů je největší limitující faktor rozšíření to, že se týká jenom Windows Serveru verze 2004 (20H1) a 20H2 v Core instalaci, ne klasického „Windows Serveru 2019“, který je minimálně v našich končinách rozšířenější.

 

Na toto chybu již druhý týden existuje záplata. Microsoft ji vydal 11. května 2021 v rámci „patch Tuesday“ a na počítačích s výchozím nastavením aktualizací by již měla být automaticky nainstalována. Microsoft chybu objevil interně, ale dnes získala na závažnosti, protože Axel Souchet zveřejnil proof of concept kód, který chybu umožňuje využít. Je tedy pravděpodobné, že se velice rychle objeví malware využívající chybu „in the wild“, tedy reálně napadající počítače.

Připojuji se k doporučení Microsoftu, který radí „prioritizovat instalaci oprav na zasažené servery“. Tedy přeloženo, servery aktualizujte teď hned, neboť jinak hrozí pěkný průšvih.