RSS 零日计划 - 博客 笔记

笔记线程

Microsoft Internet Information Services 的 HTTP.sys 中 HTTP 协议栈存在远程代码执行漏洞,攻击者可通过向目标系统发送特制的 HTTP 数据包加以利用。该漏洞源于对传入 HTTP 请求的无效验证,成功利用可导致拒绝服务或具有内核权限的代码执行。HTTP.sys 是 Microsoft Windows 中的内核模式 HTTP 协议驱动程序,为 Internet Information Services 及其他应用程序提供 HTTP 请求解析、响应缓存和 SSL/TLS 终止功能。该漏洞由 HTTP/1.x 头部解析过程中缓冲区引用数组的整数溢出引起,可能导致内核池堆缓冲区溢出。要触发该溢出,攻击者必须构造一个 HTTP 请求,使每个头部行封装在独立的 TLS 应用数据记录中,且至少需要 65,536 个缓冲区引用。请求总大小约为 262,144 字节,超过默认的 MaxRequestBytes 注册表值 16,384 字节。未经身份验证的远程攻击者可通过在 TLS 连接上发送特制的 HTTP/1.x 请求利用此漏洞,导致系统意外终止或在内核上下文中执行任意代码。可通过监控并解析 TCP 443 端口的流量来检测该漏洞,方法包括解密 TLS 流量并统计不同头部字段行的数量,或检查加密会话内 TLS 应用数据记录的模式。Microsoft 已在 2026 年 6 月发布周期中修复此漏洞,确保修复的最佳方法是测试并部署供应商提供的补丁。为防止利用,将 MaxRequestBytes 注册表值设置为 65,535 字节或更低属于保守配置,建议用户遵循 TrendAI Research 团队发布的最新安全补丁和漏洞利用技术。
CdXz5zHNQW_taLHU2yssb.jpeg
TrendAI 研究团队发现 Windows 互联网密钥交换(IKE)服务中存在双重释放漏洞 CVE-2026-33824,该漏洞最初由微软的 WARP 和 MORSE 团队发现。此缺陷存在于 IKEv2 的分片处理机制中,可能导致 IKEEXT 服务崩溃或任意代码执行。该漏洞源于在 ikeext.dll 中处理 IKEv2 分片重组时,对堆分配的 blob 指针的所有权管理不当。在 IKE_SA_INIT 交换过程中,安全域供应商 ID 载荷会调用 IkeHandleSecurityRealmVendorId() 分配一个 blob,并将其存储在 MMSA 结构中。当重组分片的 IKE_AUTH 消息时,IkeReinjectReassembledPacket 将该 blob 指针浅拷贝到本地栈结构体中;随后,IkeQueueRecvRequest 又将该栈结构体浅拷贝到堆分配的工作项中。第一次释放发生在 IkeDestroyPacketContext 处理该工作项并释放此浅拷贝的 blob 指针时;此时 MMSA 结构仍持有指向同一分配的原始指针。第二次释放发生在通过 IkeCleanupMMNegotiation 清理 MMSA 时,该过程最终触发 IkeFreeMMSA,试图释放已被释放的分配。未经身份验证的远程攻击者可通过发送精心构造的 IKE_SA_INIT 消息,随后发送两个或更多包含无效 IKE_AUTH 消息的加密分片载荷来利用此漏洞。检测需监控 UDP 端口 500 和 4500,识别特定的 IKE_SA_INIT 序列(包含微软安全域供应商 ID),随后出现包含特定字节序列的分片 IKE_AUTH 请求。微软已于 2026 年 4 月发布补丁修复此漏洞,建议临时措施包括阻止入站 UDP 端口 500 和 4500 的流量,或将流量限制为已知对等地址;应用厂商提供的更新是唯一完整的修复方案。
CdXz5zHNQW_WT3iiMmsPg.jpeg