六月补丁星期二刚落幕微软安全响应中心却抛出一枚重磅炸弹。编号 CVE-2026-47291 的 HTTP.sys 远程代码执行漏洞以逼近满分的 CVSS 9.8 评分成为本轮更新中最不容忽视的头等威胁。它藏身于 Windows 内核态的 HTTP 协议栈深处无需用户交互、无需本地权限攻击者仅凭网络可达性就能直接向系统内核注入恶意代码。这种隔空取物式的攻击路径让无数依赖 IIS、Windows Web API 或各类内置 HTTP 服务的企业瞬间绷紧了神经。漏洞本质一个整数溢出引发的雪崩HTTP.sys 并非普通应用层组件它是 Windows 处理所有 HTTP 请求的总闸门。从 IIS 站点到远程桌面网关再到各类调用 HTTP Server API 的第三方服务数据包都要经过它的手。微软官方确认此次缺陷属于整数溢出与回绕错误——当驱动程序解析特定构造的 HTTP 请求时长度计算发生回绕导致后续内存操作越界。说白了攻击者只需要发送一个尺寸诡异的恶意数据包就能在系统最高权限上下文里执行任意指令。更棘手的是这个漏洞的触发条件并不苛刻。目标服务器只要运行着依赖 HTTP.sys 的服务且暴露在网络可达范围内就可能成为猎物。微软在通告中将其利用可能性标记为极有可能被利用尽管目前尚未观察到公开的 EXP 在野流传但安全社区普遍共识是留给防御者的时间窗口并不宽裕。历史经验告诉我们HTTP.sys 级别的漏洞一旦武器化传播速度往往以小时计。谁暴露在枪口之下影响范围横跨 Windows 10、Windows 11 全系列版本以及 Windows Server 2012 至 2025 的多代服务器操作系统。只要系统上启用了 HTTP 监听服务无论是传统 IIS 站点、ASP.NET 应用还是某些依赖内置 Web 服务的管理软件都在潜在打击面之内。值得注意的是很多企业为了支撑大文件上传或特殊业务场景曾手动调整过注册表中的MaxRequestBytes参数。这一改动在当年或许是为了解决请求头过长的报错却没想到在今日成为漏洞触发的关键前置条件。默认 16384 字节的配置实际上处于安全区真正危险的是那些将阈值大幅上调甚至突破合理边界的系统。微软给出的安全底线很明确如果业务确实需要更大的请求缓冲65534 字节是既能满足需求又能避开风险的最小安全值。临时止血注册表里的安全阀在官方补丁全面部署之前管理员可以通过收紧注册表配置来临时阻断攻击路径。操作并不复杂但每一步都需慎之又慎毕竟改的是内核驱动层面的参数。打开注册表编辑器定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters。检查右侧是否存在MaxRequestBytes这一项。如果当前数值大于 65534立即将其调整为 65534十进制若系统原本就没有这个键值说明处于默认安全状态无需画蛇添足。对于习惯命令行的运维人员一段提升权限后的 PowerShell 指令就能搞定powershell$path HKLM:\SYSTEM\CurrentControlSet\Services\HTTP\Parameters New-ItemProperty -Path $path -Name MaxRequestBytes -PropertyType DWORD -Value 65534 -Force修改完成后必须重启 HTTP 服务才能生效。执行net stop http /yfollowed bynet start http或者直接重启服务器确保新策略落地。这个临时缓解措施的本质是给攻击面做减法——通过限制请求字节数让恶意构造的数据包无法触及漏洞触发点。根治之道补丁优先回滚有据注册表修改只是权宜之计绝非长久之策。微软 2026 年 6 月的安全更新已经包含了针对 CVE-2026-47291 的完整修复。企业应当优先通过 Windows Update 或 WSUS 推送补丁对暴露在公网或 DMZ 区域的服务器执行紧急加固。补丁安装完成后先前为了应急而调整的注册表值可以恢复原貌。将MaxRequestBytes重置为 16384或者直接删除该自定义键值Windows 便会自动回退到出厂默认的安全行为。同样改动后别忘了重启 HTTP 服务让系统以干净状态运行。这一轮补丁星期二总计修复了超过 200 个漏洞但 CVE-2026-47291 之所以能从众多严重评级中脱颖而出核心原因在于它触及了操作系统最底层的网络协议栈。攻击者不需要钓鱼邮件不需要诱导点击甚至不需要任何身份凭证只要网络能通就能尝试叩开这扇后门。对于安全团队而言这种零门槛的远程代码执行漏洞从来都是最高优先级的响应对象。