微軟 IIS 6.0 發現 HTTP.sys (作業系統核心漏洞,可引發 DoS 攻擊),漏洞編號CVE-2015-1635,也是美國漏洞資料庫(NVD)評分為10分、風險最高的漏洞之一,與先前的 Heartbleed 及 Shellshock 同級。
註:手上沒有 M$ 的 Server 可以測試,所以此篇純粹紀錄測試法,就不作驗證了
微軟 IIS 6.0 的 HTTP.sys 漏洞
下述摘錄自此篇:微軟IIS驚爆HTTP.sys死亡漏洞,一Ping系統恐癱瘓, SANS警告駭客正大肆搜尋肉票伺服器
微軟IIS網頁伺服器用來處理HTTP請求的核心模組,也就是處理網頁瀏覽請求的核心模組。這次發生問題的是HTTP.sys標頭參數Range,通常用於網頁續傳檔案時,因為HTTP.sys不會檢查Range參數數值範圍,駭客若餵入超出Range參數範圍的數值,就會導致Windows核心當機,也會增加讓駭客遠端操控電腦的機會。
這個HTTP.sys漏洞發現出現在微軟IIS 6.0版,受影響的作業系統包括:
- Windows 7 SP1
- Windows 8
- Windows 8.1
- Windows Server 2008 R2 SP1
- Windows Server 2012
- Windows Server 2012 R2等桌面端及伺服器端作業系統
檢查方式:
根據SANS的建議,目前企業如果有使用IPS(入侵偵測防禦)設備,可以透過設定簡單的Snort規則,先確保微軟網頁伺服器的安全。或是發送傳下列HTTP請求查證IIS伺服器是否有HTTP.sys漏洞:
GET / HTTP/1.1 Host: MS15034 Range: bytes=0-18446744073709551615
如果伺服器的回應顯示「Requested Header Range Not Satisfiable」,就表示有HTTP.sys漏洞。