CVE-2026-47291: Windows HTTP.sys에서의 원격 코드 실행
Microsoft Internet Information Services의 HTTP Protocol Stack에 원격 코드 실행 취약점이 존재하며, 이는 HTTP.sys에 구현되어 있으며 대상 시스템으로 조작된 HTTP 패킷을 전송하여 악용될 수 있습니다. 이 취약점은 들어오는 HTTP 요청의 유효성 검사가 잘못되어 발생하며, 성공적인 악용은 서비스 거부 상태 또는 커널 권한으로 코드 실행을 초래할 수 있습니다. HTTP.sys는 Microsoft Windows의 커널 모드 HTTP 프로토콜 드라이버이며, Internet Information Services 및 기타 애플리케이션을 위한 HTTP 요청 구문 분석, 응답 캐싱 및 SSL/TLS 종료를 제공합니다. 이 취약점은 HTTP/1.x 헤더 구문 분석 중 버퍼 참조 배열의 정수 오버플로로 인해 발생하며, 이는 커널 풀 힙 버퍼 오버플로로 이어질 수 있습니다. 오버플로를 트리거하려면 공격자는 각 헤더 줄을 별도의 TLS 애플리케이션 데이터 레코드에 캡슐화하는 HTTP 요청을 조작해야 하며, 최소 65,536개의 버퍼 참조가 필요합니다. 총 요청 크기는 약 262,144바이트이며, 이는 기본 MaxRequestBytes 레지스트리 값인 16,384바이트를 초과합니다. 원격 인증되지 않은 공격자는 TLS 연결을 통해 영향을 받는 서버로 특별히 조작된 HTTP/1.x 요청을 전송하여 이 취약점을 악용할 수 있으며, 이는 예상치 못한 시스템 종료 또는 커널 컨텍스트에서의 임의 코드 실행으로 이어질 수 있습니다. 이 취약점의 탐지는 TCP 포트 443의 트래픽을 모니터링하고 구문 분석함으로써 달성할 수 있으며, TLS 트래픽을 복호화하고 고유한 헤더 필드 줄의 수를 세거나 암호화된 세션 내의 TLS 애플리케이션 데이터 레코드 패턴을 검사하여 수행할 수 있습니다. 이 취약점은 Microsoft에서 2026년 6월 릴리스 주기에 패치되었으며, 수정 사항을 보장하는 가장 좋은 방법은 공급업체에서 제공한 패치를 테스트하고 배포하는 것입니다. 악용을 방지하기 위해 MaxRequestBytes 레지스트리 값을 65,535바이트 이하로 유지하는 것은 보수적인 구성이며, 사용자는 TrendAI Research 팀의 최신 보안 패치 및 악용 기법을 따르는 것이 좋습니다.