Sono sempre stato contrario alla pubblicazione di PoC su exploit che hanno un unico scopo: distruggere. Gli exploit che causano un crash andrebbero mantenuti privati, ma purtroppo, alcuni di loro sono open-source, come nel caso di CVE-2021-31166.
Quest'exploit non si limita solamente a creare un blue screen dall'altra parte, ma c'è anche il rischio di un crash permanente. Ma perché? Non mi dilungo troppo su quest'exploit, desidero più che altro che quante più persone lo conoscano cosicché possano installare la patch, e anche per questo motivo userò un linguaggio meno tecnico possibile.
La formula di questi exploit che sfruttano http.sys per fare casini è più o meno sempre questa (perché c'era anche una variante più vecchia dell'exploit):
una richiesta che contiene un header invalido. Quando un server non vulnerabile vede questa richiesta la scarta, e restituisce un errore (400 bad request), dal momento che la richiesta non è valida, e va trattata come tale.
Un server vulnerabile invece, quando vede questa richiesta la interpreta come legittima (restituendo 200 OK), ma dato che in realtà non è legittimo un bel niente, la memoria dell'OS che sta hostando il server crasha, perché ha accettato e provato a elaborare una richiesta che normalmente andrebbe rifiutata. Quando i server restituiscono 400 Bad Request c'è un motivo dopotutto.
Tuttavia, niente paura. Se Microsoft Update è sempre attivo sul tuo dispositivo (dato che l'exploit affligge solamente Microsoft IIS, e quindi Windows) non hai di che preoccuparti. In caso contrario, puoi installare la patch direttamente dal loro catalogo online, chiamato "Microsoft Update Catalog", raggiungibile da una semplice ricerca su Google.
Per i cacciatori come me, l'unico modo che hanno per testare la consistenza di quest'exploit è installare localmente un'istanza di IIS vulnerabile, ma sinceramente non vale proprio la pena sbattersi per un exploit che schiacci Enter e tira giù un server, mentre testarlo su dispositivi altrui caccia solo nei guai:
Quindi direi che dopo questo thread, quest'exploit può andare tranquillamente a /dev/null (almeno per me)
Quest'exploit non si limita solamente a creare un blue screen dall'altra parte, ma c'è anche il rischio di un crash permanente. Ma perché? Non mi dilungo troppo su quest'exploit, desidero più che altro che quante più persone lo conoscano cosicché possano installare la patch, e anche per questo motivo userò un linguaggio meno tecnico possibile.
La formula di questi exploit che sfruttano http.sys per fare casini è più o meno sempre questa (perché c'era anche una variante più vecchia dell'exploit):
una richiesta che contiene un header invalido. Quando un server non vulnerabile vede questa richiesta la scarta, e restituisce un errore (400 bad request), dal momento che la richiesta non è valida, e va trattata come tale.
Un server vulnerabile invece, quando vede questa richiesta la interpreta come legittima (restituendo 200 OK), ma dato che in realtà non è legittimo un bel niente, la memoria dell'OS che sta hostando il server crasha, perché ha accettato e provato a elaborare una richiesta che normalmente andrebbe rifiutata. Quando i server restituiscono 400 Bad Request c'è un motivo dopotutto.
Tuttavia, niente paura. Se Microsoft Update è sempre attivo sul tuo dispositivo (dato che l'exploit affligge solamente Microsoft IIS, e quindi Windows) non hai di che preoccuparti. In caso contrario, puoi installare la patch direttamente dal loro catalogo online, chiamato "Microsoft Update Catalog", raggiungibile da una semplice ricerca su Google.
Per i cacciatori come me, l'unico modo che hanno per testare la consistenza di quest'exploit è installare localmente un'istanza di IIS vulnerabile, ma sinceramente non vale proprio la pena sbattersi per un exploit che schiacci Enter e tira giù un server, mentre testarlo su dispositivi altrui caccia solo nei guai:
Quindi direi che dopo questo thread, quest'exploit può andare tranquillamente a /dev/null (almeno per me)