软餐获悉,微软在 2022 年 1 月的周二补丁日低调修复了一个严重的安全漏洞,该漏洞被标记为 CVE-2022-21907。它影响包括 Windows 11 和 Windows Server 2022 在内的 Windows 最新的桌面及服务器版本。幸运的是,该漏洞尚未被广泛利用。
微软建议用户优先在服务器端上修补该漏洞,该漏洞利用在 HTTP 协议栈 (HTTP.sys) 中,仅通过向目标服务器发送特制数据包即可利用 HTTP 协议栈 (http.sys) 来处理数据包,攻击者甚至无需通过身份验证。
对于 Windows Server 2019 和 Windows 10 1809,可配置注册表以禁用 HTTP Trailer Support 功能,可保护系统免受攻击,但这不适用于其他 Windows 版本。