CVE-2026-47291: Удаленное выпо... Заметка
RSS Zero Day Initiative - Блог

CVE-2026-47291: Удаленное выполнение кода в Windows HTTP.sys

Уязвимость удаленного выполнения кода существует в стеке протокола HTTP для служб Microsoft Internet Information Services, реализованном в HTTP.sys, которую можно использовать, отправив в систему целевойcrafted HTTP-пакеты. Уязвимость возникает из-за недействительной проверки входящих запросов HTTP, и успешная эксплуатация может привести к состоянию отказа в обслуживании или выполнению кода с привилегиями ядра. HTTP.sys - это драйвер протокола HTTP в режиме ядра Microsoft Windows, и он обеспечивает парсинг запросов HTTP, кэширование ответов и завершение SSL/TLS для служб Internet Information Services и других приложений. Уязвимость вызвана переполнением целого числа в массиве ссылок на буфер во время парсинга заголовков HTTP/1.x, что может привести к переполнению буфера кучи пула ядра. Чтобы вызвать переполнение, атакующий должен создать запрос HTTP, в котором каждая строка заголовка инкапсулируется в отдельную запись данных приложения TLS, что требует как минимум 65 536 ссылок на буфер. Общий размер запроса составит примерно 262 144 байта, что превышает значение реестра MaxRequestBytes по умолчанию в 16 384 байта. Удаленный неавторизованный атакующий может использовать эту уязвимость, отправив специально созданный запрос HTTP/1.x по соединению TLS на пострадавший сервер, что приведет к неожиданному завершению системы или произвольному выполнению кода в контексте ядра. Обнаружение этой уязвимости можно осуществить путем мониторинга и парсинга трафика на TCP-порту 443, либо путем расшифровки трафика TLS и подсчета количества отдельных строк полей заголовка, либо путем осмотра образца записей данных приложения TLS в зашифрованной сессии. Уязвимость была исправлена компанией Microsoft в выпуске июня 2026 года, и лучший метод обеспечения исправления - протестировать и развернуть исправление, поставляемое поставщиком. Чтобы предотвратить эксплуатацию, сохранение значения реестра MaxRequestBytes на уровне 65 535 байт или ниже представляет собой консервативную конфигурацию, и пользователям рекомендуется следовать последним исправлениям безопасности и методам эксплуатации от команды исследований TrendAI.
CdXz5zHNQW_taLHU2yssb.jpeg