微軟 IIS 6.0 的 HTTP.sys 漏洞

微軟 IIS 6.0 發現 HTTP.sys (作業系統核心漏洞,可引發 DoS 攻擊),漏洞編號CVE-2015-1635,也是美國漏洞資料庫(NVD)評分為10分、風險最高的漏洞之一,與先前的 Heartbleed 及 Shellshock 同級。

註:手上沒有 M$ 的 Server 可以測試,所以此篇純粹紀錄測試法,就不作驗證了

微軟 IIS 6.0 的 HTTP.sys 漏洞

下述摘錄自此篇:微軟IIS驚爆HTTP.sys死亡漏洞,一Ping系統恐癱瘓, SANS警告駭客正大肆搜尋肉票伺服器

微軟IIS網頁伺服器用來處理HTTP請求的核心模組,也就是處理網頁瀏覽請求的核心模組。這次發生問題的是HTTP.sys標頭參數Range,通常用於網頁續傳檔案時,因為HTTP.sys不會檢查Range參數數值範圍,駭客若餵入超出Range參數範圍的數值,就會導致Windows核心當機,也會增加讓駭客遠端操控電腦的機會。

這個HTTP.sys漏洞發現出現在微軟IIS 6.0版,受影響的作業系統包括:

  • Windows 7 SP1
  • Windows 8
  • Windows 8.1
  • Windows Server 2008 R2 SP1
  • Windows Server 2012
  • Windows Server 2012 R2等桌面端及伺服器端作業系統

檢查方式:

根據SANS的建議,目前企業如果有使用IPS(入侵偵測防禦)設備,可以透過設定簡單的Snort規則,先確保微軟網頁伺服器的安全。或是發送傳下列HTTP請求查證IIS伺服器是否有HTTP.sys漏洞:

GET / HTTP/1.1
Host: MS15034
Range: bytes=0-18446744073709551615

如果伺服器的回應顯示「Requested Header Range Not Satisfiable」,就表示有HTTP.sys漏洞。

相關網頁

作者: Tsung

對新奇的事物都很有興趣, 喜歡簡單的東西, 過簡單的生活.

發表迴響

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料