問(wèn)題描述
如上圖中PaaS所不可見(jiàn)區(qū)域兑宇, 操作系統(tǒng)級(jí)別的內(nèi)容我們并不知道具體的內(nèi)容碍侦。如果當(dāng)出現(xiàn)新的操作系統(tǒng)級(jí)別的安全漏洞時(shí)候,我們?nèi)绾蝸?lái)確認(rèn)當(dāng)前所使用的Azure PaaS服務(wù)所在主機(jī)的OS已經(jīng)修復(fù)了此漏洞呢隶糕?
以微軟2022-01-17號(hào)發(fā)布的 CVE-2022-21907 (HTTP Protocol Stack Remote Code Execution Vulnerability/HTTP 協(xié)議 棧遠(yuǎn)程代碼執(zhí)行漏洞)為例:https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21907
CVE-2022-21907 HTTP 協(xié)議 棧遠(yuǎn)程代碼執(zhí)行漏洞
HTTP Protocol Stack Remote Code Execution Vulnerability,由于 HTTP 協(xié)議棧(HTTP.sys)中的 HTTP Trailer Support 功能存在邊界錯(cuò)誤可導(dǎo)致緩沖區(qū)溢出站玄。未經(jīng)身份驗(yàn)證的攻擊者通過(guò)向 Web 服務(wù)器發(fā) 送特制的 HTTP 數(shù)據(jù)包枚驻,從而在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。該漏洞被微軟提示為“可蠕蟲(chóng)化”株旷, 無(wú)需用戶交互便可通過(guò)網(wǎng)絡(luò)進(jìn)行自我傳播再登,CVSS 評(píng)分為 9.8。目
前已有可導(dǎo)致目標(biāo)主機(jī) BSoD 的 PoC 公開(kāi)晾剖,請(qǐng)盡快采取措施進(jìn)行防護(hù)锉矢。 Windows HTTP 協(xié)議棧(HTTP.sys)是 Windows 操作系統(tǒng)中處理 HTTP 請(qǐng)求的內(nèi)核驅(qū) 動(dòng)程序,常見(jiàn)于 Web 瀏覽器與 Web 服務(wù)器之間的通信齿尽,以及 Internet Information Services (IIS)中沽损。
問(wèn)題解答
因?yàn)榘踩┒吹难a(bǔ)丁是由操作系統(tǒng)進(jìn)行的補(bǔ)丁修復(fù)(Security Patch), 所以通過(guò)PaaS(如App Service,F(xiàn)unction App, APIM等)服務(wù)循头,是無(wú)法進(jìn)行核查信息的绵估。
因?yàn)镾ecurity Patch 本身是由 OS的Windows Update 進(jìn)行升級(jí)修復(fù),所以可以查看微軟官方的更新內(nèi)容卡骂,可以發(fā)現(xiàn)国裳,針對(duì)不同的操作系統(tǒng)版本,都有補(bǔ)丁包進(jìn)行修復(fù)全跨。如 **KB5009557 **
通過(guò) Microsoft?Update Catalog 在線查詢缝左,可以得知對(duì)于的補(bǔ)丁是否已經(jīng)全球推送。如KB5009557補(bǔ)丁在漏洞發(fā)布前(2022/01/20)就向Windows 2019進(jìn)行推送浓若。所以渺杉,可以判斷此漏洞對(duì)Azure PaaS服務(wù)沒(méi)有影響。
附錄:漏洞防護(hù)
補(bǔ)丁更新
目前微軟官方已針對(duì)受支持的產(chǎn)品版本發(fā)布了修復(fù)該漏洞的安全補(bǔ)丁七嫌,強(qiáng)烈建議受影響 用戶盡快安裝補(bǔ)丁進(jìn)行防護(hù)少办,官方下載鏈接: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21907
注:由于網(wǎng)絡(luò)問(wèn)題、計(jì)算機(jī)環(huán)境問(wèn)題等原因诵原,Windows Update 的補(bǔ)丁更新可能出現(xiàn)失敗英妓。用戶在安裝補(bǔ)丁后挽放,應(yīng)及時(shí)檢查補(bǔ)丁是否成功更新。
右鍵點(diǎn)擊 Windows 圖標(biāo)蔓纠,選擇“設(shè)置(N)”辑畦,選擇“更新和安全”-“Windows 更新”,查看該頁(yè) 面上的提示信息腿倚,也可點(diǎn)擊“查看更新歷史記錄”查看歷史更新情況纯出。
針對(duì)未成功安裝的更新,可點(diǎn)擊更新名稱跳轉(zhuǎn)到微軟官方下載頁(yè)面敷燎,建議用戶點(diǎn)擊該頁(yè) 面上的鏈接暂筝,轉(zhuǎn)到“Microsoft 更新目錄”網(wǎng)站下載獨(dú)立程序包并安裝。
臨時(shí)防護(hù)措施
若使用 Windows Server 2019 和 Windows 10 version 1809 版本的用戶暫時(shí)無(wú)法安 裝補(bǔ)丁,可使用下列措施進(jìn)行臨時(shí)緩解:
在 DWORD 注冊(cè)表中刪除“EnableTrailerSupport”可防護(hù)此漏洞的攻擊,“EnableTrailerS upport”的路徑為:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Par ameters
注:當(dāng)用戶通過(guò) EnableTrailerSupport 注冊(cè)表值啟用了 HTTP Trailer Support 時(shí)涝婉,以上 版本才受該漏洞影響闻伶,默認(rèn)配置時(shí)不受該漏洞影響。
參考資料
Microsoft Update Catelog : https://www.catalog.update.microsoft.com/Home.aspx
HTTP Protocol Stack Remote Code Execution Vulnerability: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21907
當(dāng)在復(fù)雜的環(huán)境中面臨問(wèn)題,格物之道需:濁而靜之徐清,安以動(dòng)之徐生。 云中它褪,恰是如此!
分類: 【Azure 環(huán)境】
標(biāo)簽: App Service, Azure 環(huán)境, 安全漏洞問(wèn)題, CVE-2022-21907
