Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
CVE-2026-21250 to podatność typu lokalna eskalacja uprawnień w komponencie Windows HTTP.sys. Błąd został opisany jako dereferencja niezaufanego wskaźnika, co oznacza, że jądrowy sterownik obsługujący stos HTTP może operować na niezweryfikowanym odwołaniu do pamięci. W praktyce taki problem może umożliwić użytkownikowi posiadającemu już dostęp do systemu podniesienie uprawnień do poziomu wyższego niż przewidziany przez model bezpieczeństwa systemu.
W skrócie
Podatność została zarejestrowana jako CVE-2026-21250 i dotyczy Windows HTTP.sys. Według opisu producenta oraz wpisu w NVD, problem polega na dereferencji niezaufanego wskaźnika i może prowadzić do lokalnej eskalacji uprawnień przez autoryzowanego atakującego. Wektor CVSS 3.1 wskazuje na atak lokalny, niską złożoność, wymagane niskie uprawnienia oraz brak konieczności interakcji użytkownika, a ocena bazowa wynosi 7.8.
Publicznie pojawił się także proof-of-concept opisujący próbę wywołania błędu przez interakcję z lokalnie dostępną usługą HTTP działającą na porcie 80. Dotknięte konfiguracje obejmują m.in. Windows 11 24H2, Windows 11 25H2 oraz wybrane wydania serwerowe, przy czym poprawki są dostępne w nowszych buildach systemu.
Kontekst / historia
HTTP.sys to niskopoziomowy komponent systemu Windows odpowiedzialny za obsługę ruchu HTTP w trybie jądra. Z punktu widzenia bezpieczeństwa jest to element szczególnie istotny, ponieważ znajduje się blisko granicy między danymi dostarczanymi przez użytkownika lub proces a pamięcią i logiką wykonywaną z wysokimi uprawnieniami.
Podatność CVE-2026-21250 została opublikowana w lutym 2026 roku. W publicznych bazach bezpieczeństwa została sklasyfikowana jako luka w komponencie HTTP.sys umożliwiająca eskalację uprawnień lokalnie. Następnie w maju 2026 roku pojawił się wpis z kodem proof-of-concept, który odnosi się do systemów Windows 11 24H2 i pokrewnych wersji oraz pokazuje przykładową ścieżkę wywołania niestabilnego zachowania w lokalnym stosie HTTP.
Warto podkreślić, że publikacja kodu PoC nie jest równoznaczna z dostarczeniem niezawodnego, operacyjnego exploita do przejęcia uprawnień SYSTEM. Tego typu materiały często pełnią rolę demonstracyjną: potwierdzają powierzchnię ataku, pokazują sposób interakcji z podatnym komponentem albo umożliwiają odtworzenie awarii, ale nie zawsze dają w pełni powtarzalny efekt ofensywny.
Analiza techniczna
Sednem CVE-2026-21250 jest dereferencja niezaufanego wskaźnika w HTTP.sys, sklasyfikowana jako CWE-822. Taki typ błędu oznacza, że komponent działający z wysokimi uprawnieniami może użyć wskaźnika pochodzącego z niewłaściwie zweryfikowanego źródła. Jeśli kontrola poprawności adresu, długości danych lub kontekstu pamięci jest niepełna, konsekwencją może być odczyt lub zapis do nieprawidłowego obszaru pamięci, awaria systemu albo przejście do ścieżki prowadzącej do podniesienia uprawnień.
Publicznie dostępny PoC odwołuje się do lokalnego połączenia TCP z adresem 127.0.0.1 na porcie 80 i buduje spreparowane żądanie HTTP z niestandardowym nagłówkiem. Z perspektywy analitycznej taki materiał sugeruje, że wektor wejściowy przebiega przez obsługę żądań przez sterownik HTTP.sys, a warunkiem testu jest aktywna usługa HTTP w systemie. Kod ma jednak cechy demonstracyjne i sam autor wskazuje, że jego działanie może prowadzić raczej do błędu stop niż do stabilnej eksploatacji. Dodatkowo sam przykład zawiera ograniczenia implementacyjne, które mogą utrudniać przekazanie binarnych danych wskaźnikowych w oczekiwanej postaci.
Z technicznego punktu widzenia najistotniejsze są trzy elementy:
- luka wymaga lokalnego dostępu do systemu, więc nie jest klasycznym zdalnym RCE,
- komponent działa w jądrze, więc skutki błędu są poważniejsze niż w przypadku zwykłego procesu użytkownika,
- niski próg wejścia wskazany w metryce CVSS oznacza, że po uzyskaniu podstawowego dostępu do hosta atakujący może stosunkowo łatwo próbować rozszerzyć kontrolę nad systemem.
Dostępne informacje o wersjach podatnych wskazują, że zagrożone były m.in. Windows 11 24H2 do wersji wcześniejszych niż 10.0.26100.7781, Windows 11 25H2 do wersji wcześniejszych niż 10.0.26200.7781 oraz Windows Server 2022 23H2 do wersji wcześniejszych niż 10.0.25398.2149. W praktyce oznacza to, że organizacje powinny weryfikować nie tylko obecność poprawek, ale także konkretne numery buildów.
Konsekwencje / ryzyko
Najpoważniejszym skutkiem tej podatności jest możliwość przejścia z poziomu zwykłego, już uwierzytelnionego użytkownika do kontekstu o znacznie wyższych uprawnieniach. Taki scenariusz jest szczególnie groźny po skutecznym phishingu, kompromitacji konta z ograniczonymi prawami, nadużyciu zdalnego pulpitu albo po uzyskaniu dostępu przez inny malware.
W środowisku enterprise lokalna eskalacja uprawnień często stanowi etap pośredni w łańcuchu ataku. Napastnik może najpierw uzyskać foothold na stacji roboczej, następnie wykorzystać podatność jądrową do podniesienia uprawnień, wyłączyć mechanizmy ochronne, uzyskać dostęp do poświadczeń, utrwalić obecność i rozpocząć ruch boczny. Nawet jeśli luka sama w sobie nie zapewnia zdalnego wejścia, jej wartość operacyjna pozostaje wysoka.
Dodatkowe ryzyko dotyczy dostępności. Błędy wskaźnikowe w sterownikach jądra mogą powodować niestabilność systemu, w tym awarie typu BSOD. W praktyce oznacza to, że luka może być użyta nie tylko do eskalacji uprawnień, lecz również do lokalnego zakłócenia pracy hosta, szczególnie w środowiskach, gdzie HTTP.sys jest aktywnie wykorzystywany przez usługi systemowe lub aplikacyjne.
Rekomendacje
Priorytetem powinno być wdrożenie poprawek bezpieczeństwa udostępnionych przez Microsoft dla podatnych wersji systemu. Zespół bezpieczeństwa powinien potwierdzić, że urządzenia osiągnęły wersje buildów nowsze od wskazanych jako podatne, a nie ograniczać się wyłącznie do ogólnej deklaracji, że system jest aktualny.
Warto przeprowadzić inwentaryzację hostów, na których aktywny jest stos HTTP.sys oraz usługi korzystające z portu 80 lub rezerwacji URL na warstwie systemowej. Choć komponent jest integralny dla wielu funkcji Windows, ograniczenie zbędnej ekspozycji lokalnych usług HTTP zmniejsza powierzchnię ataku i ułatwia monitoring.
Z perspektywy detekcji należy monitorować:
- nietypowe lokalne połączenia do 127.0.0.1:80 inicjowane przez procesy użytkownika,
- uruchamianie lub restart usług związanych z HTTP,
- nagłe awarie systemowe i zdarzenia kernelowe mogące wskazywać na próby eksploatacji,
- korelację pomiędzy świeżym dostępem użytkownika a próbami podniesienia uprawnień.
Dobrą praktyką pozostaje również ograniczanie lokalnych uprawnień użytkowników, wdrożenie zasad least privilege, ochrona LSASS, stosowanie EDR z telemetrią kernelową oraz segmentacja administracyjna. Ponieważ luka wymaga już pewnego poziomu dostępu do hosta, kontrola początkowego wejścia i utrudnianie post-exploitation mają tu bezpośrednią wartość obronną.
W środowiskach testowych zalecane jest odrębne sprawdzenie, czy aktywna konfiguracja HTTP.sys jest rzeczywiście potrzebna dla wszystkich ról systemowych. Każde wyłączenie zbędnej funkcji jądrowej lub usługi korzystającej ze stosu HTTP może ograniczyć praktyczną możliwość nadużycia.
Podsumowanie
CVE-2026-21250 to istotna podatność lokalnej eskalacji uprawnień w Windows HTTP.sys, wynikająca z dereferencji niezaufanego wskaźnika. Choć nie jest to luka zdalna, jej znaczenie operacyjne jest wysokie, ponieważ może zostać wykorzystana po uzyskaniu podstawowego dostępu do systemu. Publiczny PoC zwiększa zainteresowanie podatnością i ułatwia badania nad jej praktycznym wykorzystaniem, nawet jeśli nie stanowi jeszcze kompletnego, niezawodnego exploita produkcyjnego. Dla organizacji kluczowe są szybkie aktualizacje, walidacja numerów buildów, monitoring nietypowej aktywności lokalnej wokół HTTP.sys oraz konsekwentne ograniczanie uprawnień użytkowników.
Źródła
- Exploit Database – Windows 11 24H2 – Local Privilege Escalation
https://www.exploit-db.com/exploits/52546 - NVD – CVE-2026-21250 Detail
https://nvd.nist.gov/vuln/detail/CVE-2026-21250 - Microsoft Security Update Guide – CVE-2026-21250
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21250 - CVE Record – CVE-2026-21250
https://www.cve.org/CVERecord?id=CVE-2026-21250