一、基本情况

微软在5月12日发布了5月安全更新补丁，其中包含HTTP协议栈远程代码执行漏洞（CVE-2021-31166），该漏洞存在于HTTP协议栈驱动模块(http.sys)，攻击者可以远程通过向目标主机发送特制数据包来进行利用，成功利用可能造成目标系统崩溃或远程代码执行（困难）。该漏洞的POC（概念验证代码）已在网上公开，漏洞利用风险正在增加，建议受影响的用户积极修复该漏洞。

二、漏洞描述

超文本传输协议（HTTP）是一个用于传输超媒体文档（例如HTML）的应用层协议。它是为Web浏览器与Web服务器之间的通信而设计的，Windows上的HTTP协议栈用于Windows上的Web服务器，如IIS，若该协议栈相关的组件存在漏洞，则可能导致远程恶意代码执行。经分析，CVE-2021-31166漏洞影响可稳定触发BSoD（Blue Screen of Death，缩写BSoD，指微软Windows操作系统在无法从一个系统错误中恢复过来时显示的蓝屏死机图像）。该漏洞被微软官方标记为Wormable（蠕虫级）和Exploitation More Likely（更可能被利用），这意味着漏洞利用可能性很大，恶意攻击者有可能通过利用该漏洞制造蠕虫病毒攻击。

三、影响范围

Windows Server, version 20H2 (Server Core Installation)

Windows Server, version 2004 (Server Core installation)

Windows 10 Version 20H2 for ARM64-based Systems

Windows 10 Version 20H2 for 32-bit Systems

Windows 10 Version 20H2 for x64-based Systems

Windows 10 Version 2004 for x64-based Systems

Windows 10 Version 2004 for ARM64-based Systems

Windows 10 Version 2004 for 32-bit Systems

四、安全建议

微软于5月12日发布当月安全更新时，已修复该漏洞。

用户也可通过以下链接手动下载安装补丁：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-31166

来源：https://s.tencent.com/research/bsafe/1312.html