Programiranje

4 podrobna dejstva o Microsoftovi ranljivosti HTTP.sys

V začetku tega tedna je Microsoft med vsemi ostalimi popravki popravkov objavil podrobnosti o ranljivosti (MS15-034), ki vpliva na sklad HTTP za Windows.

Sliši se kot težava, ki prizadene samo strežnike Windows, kajne? Napačno - prizadene celo vrsto izdelkov Windows, vključno z namizje različice sistema Windows.

Tu so štirje najpomembnejši zapiski o tej ranljivosti, za katere je Microsoft že pripravil popravek.

1. Težava prizadene sisteme, ki niso strežniki ali celo izvajajo IIS

HTTP.sys, ranljiva komponenta sistema Windows v tej številki, je gonilnik naprave v načinu jedra, ki se uporablja za obdelavo zahtev HTTP z visoko hitrostjo. Uporabljajo ga IIS 6.0 in novejše različice, kar pomeni, da je Windows že od leta 2003. (Vsi programi, ki delujejo kot spletni strežniki v sistemu Windows, niso uporabljali HTTP.sys, kot je zapisano v tej objavi iz leta 2011).

Resnična težava je, da HTTP.sys ni prisoten samo v strežniških različicah sistema Windows - prisoten je tudi v sistemih Windows 7 in Windows 8 (in 8.1). To pomeni, da so za to težavo ranljivi tudi vsi namizni sistemi, ki niso skrbno popravljeni.

2. To je enostavno izkoristiti

Microsoft je bil namerno nejasen glede tega, kaj bi potreboval za izkoriščanje te ranljivosti, in dejal, da je za njeno sprožitev mogoče uporabiti samo "posebej izdelano zahtevo HTTP". Mattias Geniar, ponudnik rešitev za gostovanje Nucleus, trdi, da je za to številko izsledil "prve delčke kode za izkoriščanje".

3. Ta vrsta napadov je bila uporabljena na drugih spletnih strežnikih

Po Geniarjevih besedah ​​je napad mogoče izvesti tako, da preprosto pošljete eno samo zahtevo HTTP z napačno oblikovano glavo zahteve obsega, kar je tehnika, ki se običajno uporablja, da gostitelj lahko pridobi del datoteke s spletnega strežnika.

Leta 2011 je bil za spletni strežnik Apache HTTPD zabeležen nejasno podoben napad. Ta ranljivost je bila kmalu zakrpana in rešitev (opomba: nizozemsko besedilo na strani) bi lahko izvedli tudi z urejanjem datoteke .htaccess za določeno spletno mesto. Toda ta napad naj bi deloval na sistemih, ki formalno ne uporabljajo spletnega strežnika, kar otežuje stvari.

4. Z lahkoto lahko preverite, ali ste ranljivi

Zdaj pa nekaj dobrih novic: razmeroma enostavno je ugotoviti, ali je bil strežnik, s katerim imate opravka, popravljen ali ne. Razvijalec "Pavel" je ustvaril spletno mesto (z odprtokodno kodo), ki omogoča testiranje katerega koli javnega spletnega strežnika na prisotnost napake. Če v orodju piše kaj drugega kot »[domena] je popravljena«, raje preglejte posodobitev zadevnega sistema.

Spodnja vrstica: popravite, če je niste, in bodite previdni, kako lahko ta težava potencialno vpliva na sisteme, ki sploh niso bili prvotno strežniki.

$config[zx-auto] not found$config[zx-overlay] not found