紧急预警：Windows HTTP.sys 曝 9.8 分内核级远程代码执行漏洞，企业应急修复全指南

六月补丁星期二刚落幕，微软安全响应中心却抛出一枚重磅炸弹。编号 CVE-2026-47291 的 HTTP.sys 远程代码执行漏洞，以逼近满分的 CVSS 9.8 评分，成为本轮更新中最不容忽视的"头等威胁"。它藏身于 Windows 内核态的 HTTP 协议栈深处，无需用户交互、无需本地权限，攻击者仅凭网络可达性就能直接向系统内核注入恶意代码。这种"隔空取物"式的攻击路径，让无数依赖 IIS、Windows Web API 或各类内置 HTTP 服务的企业瞬间绷紧了神经。

漏洞本质：一个整数溢出引发的"雪崩"

HTTP.sys 并非普通应用层组件，它是 Windows 处理所有 HTTP 请求的"总闸门"。从 IIS 站点到远程桌面网关，再到各类调用 HTTP Server API 的第三方服务，数据包都要经过它的手。微软官方确认，此次缺陷属于整数溢出与回绕错误——当驱动程序解析特定构造的 HTTP 请求时，长度计算发生回绕，导致后续内存操作越界。说白了，攻击者只需要发送一个"尺寸诡异"的恶意数据包，就能在系统最高权限上下文里执行任意指令。

更棘手的是，这个漏洞的触发条件并不苛刻。目标服务器只要运行着依赖 HTTP.sys 的服务，且暴露在网络可达范围内，就可能成为猎物。微软在通告中将其利用可能性标记为"极有可能被利用"，尽管目前尚未观察到公开的 EXP 在野流传，但安全社区普遍共识是：留给防御者的时间窗口并不宽裕。历史经验告诉我们，HTTP.sys 级别的漏洞一旦武器化，传播速度往往以小时计。

谁暴露在枪口之下？

影响范围横跨 Windows 10、Windows 11 全系列版本，以及 Windows Server 2012 至 2025 的多代服务器操作系统。只要系统上启用了 HTTP 监听服务，无论是传统 IIS 站点、ASP.NET 应用，还是某些依赖内置 Web 服务的管理软件，都在潜在打击面之内。

值得注意的是，很多企业为了支撑大文件上传或特殊业务场景，曾手动调整过注册表中的MaxRequestBytes参数。这一改动在当年或许是为了解决"请求头过长"的报错，却没想到在今日成为漏洞触发的关键前置条件。默认 16384 字节的配置实际上处于安全区；真正危险的是那些将阈值大幅上调，甚至突破合理边界的系统。微软给出的安全底线很明确：如果业务确实需要更大的请求缓冲，65534 字节是既能满足需求又能避开风险的最小安全值。

临时止血：注册表里的"安全阀"

在官方补丁全面部署之前，管理员可以通过收紧注册表配置来临时阻断攻击路径。操作并不复杂，但每一步都需慎之又慎，毕竟改的是内核驱动层面的参数。

打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters。检查右侧是否存在MaxRequestBytes这一项。如果当前数值大于 65534，立即将其调整为 65534（十进制）；若系统原本就没有这个键值，说明处于默认安全状态，无需画蛇添足。对于习惯命令行的运维人员，一段提升权限后的 PowerShell 指令就能搞定：

powershell

$path = "HKLM:\SYSTEM\CurrentControlSet\Services\HTTP\Parameters" New-ItemProperty -Path $path -Name MaxRequestBytes -PropertyType DWORD -Value 65534 -Force

修改完成后，必须重启 HTTP 服务才能生效。执行net stop http /yfollowed bynet start http，或者直接重启服务器，确保新策略落地。这个临时缓解措施的本质，是给攻击面"做减法"——通过限制请求字节数，让恶意构造的数据包无法触及漏洞触发点。

根治之道：补丁优先，回滚有据

注册表修改只是权宜之计，绝非长久之策。微软 2026 年 6 月的安全更新已经包含了针对 CVE-2026-47291 的完整修复。企业应当优先通过 Windows Update 或 WSUS 推送补丁，对暴露在公网或 DMZ 区域的服务器执行紧急加固。补丁安装完成后，先前为了应急而调整的注册表值可以恢复原貌。将MaxRequestBytes重置为 16384，或者直接删除该自定义键值，Windows 便会自动回退到出厂默认的安全行为。同样，改动后别忘了重启 HTTP 服务，让系统以干净状态运行。

这一轮补丁星期二总计修复了超过 200 个漏洞，但 CVE-2026-47291 之所以能从众多"严重"评级中脱颖而出，核心原因在于它触及了操作系统最底层的网络协议栈。攻击者不需要钓鱼邮件，不需要诱导点击，甚至不需要任何身份凭证，只要网络能通，就能尝试叩开这扇后门。对于安全团队而言，这种"零门槛"的远程代码执行漏洞从来都是最高优先级的响应对象。