CVE-2026-47291:Windows HTTP.sy... 笔记

CVE-2026-47291:Windows HTTP.sys 中的远程代码执行”

Microsoft Internet Information Services 的 HTTP.sys 中 HTTP 协议栈存在远程代码执行漏洞,攻击者可通过向目标系统发送特制的 HTTP 数据包加以利用。该漏洞源于对传入 HTTP 请求的无效验证,成功利用可导致拒绝服务或具有内核权限的代码执行。HTTP.sys 是 Microsoft Windows 中的内核模式 HTTP 协议驱动程序,为 Internet Information Services 及其他应用程序提供 HTTP 请求解析、响应缓存和 SSL/TLS 终止功能。该漏洞由 HTTP/1.x 头部解析过程中缓冲区引用数组的整数溢出引起,可能导致内核池堆缓冲区溢出。要触发该溢出,攻击者必须构造一个 HTTP 请求,使每个头部行封装在独立的 TLS 应用数据记录中,且至少需要 65,536 个缓冲区引用。请求总大小约为 262,144 字节,超过默认的 MaxRequestBytes 注册表值 16,384 字节。未经身份验证的远程攻击者可通过在 TLS 连接上发送特制的 HTTP/1.x 请求利用此漏洞,导致系统意外终止或在内核上下文中执行任意代码。可通过监控并解析 TCP 443 端口的流量来检测该漏洞,方法包括解密 TLS 流量并统计不同头部字段行的数量,或检查加密会话内 TLS 应用数据记录的模式。Microsoft 已在 2026 年 6 月发布周期中修复此漏洞,确保修复的最佳方法是测试并部署供应商提供的补丁。为防止利用,将 MaxRequestBytes 注册表值设置为 65,535 字节或更低属于保守配置,建议用户遵循 TrendAI Research 团队发布的最新安全补丁和漏洞利用技术。
CdXz5zHNQW_taLHU2yssb.jpeg