Інформація щодо вразливості в продуктах Microsoft CVE-2022-21907

24.01.2022

Як показує практика, не оновлене вчасно програмне забезпечення і не усунуті вразливості можуть призводити до істотних негативних наслідків. Урядова команда реагування на комп'ютерні надзвичайні події України CERT-UA продовжує інформування про критичні вразливості програмного забезпечення.

Компанія Microsoft опублікувала інформацію про вразливість CVE-2022-21907, використання якої дозволяє зловмисникам здійснити віддалене виконання коду на вразливому хості. 

Ця вразливість стосується файлу HTTP Protocol Stack (http.sys), який використовується для прослуховування HTTP-запитів на серверах IIS (Internet Information Services). Надсилання спеціально створеного пакета дозволяє віддалено виконувати код неавтентифікованими користувачами. 

За замовчуванням Windows Server 2019 і Windows 10 версії 1809 не є вразливими, якщо вимкнена підтримка HTTP Trailer через значення реєстру EnableTrailerSupport.

Для зменшення впливу вразливості на Windows Server 2019 та Windows 10 версії 1809 рекомендовано видалити значення DWORD реєстру 'EnableTrailerSupport', якщо воно є в: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters.

В мережі вже опубліковано експлойти для використання зазначеної вразливості!

Радимо негайно оновити ваші ОС Windows до актуальної версії:

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21907

Більш детальна інформація щодо вразливості:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-21907

Зображення до статті

За темою «Security»

31.01.2024

Звіт за четвертий квартал 2023

19.01.2024

Державний центр кіберзахисту підписав меморандум про взаємодію у сфері кібербезпеки з Державним науково-дослідним експертно-криміналістичним центром МВС

08.01.2024

Статистичний звіт за результатами роботи Системи виявлення вразливостей і реагування на кіберінциденти та кібератаки в 2023 році

20.12.2023

Державний центр кіберзахисту збільшує технічні спроможності системи виявлення вразливостей і реагування на кіберінциденти та кібератаки

25.10.2023

Звіт за третій квартал 2023

Більше новин