E’ stata rilevato un nuovo attacco tramite exploit verso il demone IIS (Internet Information Server) dei sistemi operativi Windows.
In realtà la libreria vulnerabile si chiama HTTP.sys che viene utilizzata maggiormente dal demone ISS, ma non solo, teoricamente tutti i programmi che ne usufruiscono sono a rischio!
A cosa serve la libreria HTTP.sys?
Per farla breve e semplice la sua funzione è quella di elaborare richieste HTTP.
Microsoft ha classificato questa vulnerabilità come Remote Code Execution, ma per adesso pubblicamente sono stati rilasciati exploit ti tipologia DoS:
MS Windows (HTTP.sys) HTTP Request Parsing DoS (MS15-034)Microsoft Window – HTTP.sys PoC (MS15-034)
Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows 8.1, e Windows Server 2012 R2 con a bordo almeno IIS 6.
Per testare il proprio sistema basta eseguire una semplice chiamate GET verso IIS con un particolare HEADER:
curl -v [ipaddress]/ -H "Host: MS15034" -H "Range: bytes=0-18446744073709551615" wget -O /dev/null --header="Range: 0-18446744073709551615" http://[ip address]/Se il sistema è vulnerabile si riceverà la risposta:
"Requested Header Range Not Satisfiable"1) Aggiornare il sistema con la patch rilasciata da Microsoft il 14 Febbraio: MS15-034
2) Nell’impossibilità di poter aggiornare nell’immediato il sistema operativo, è possibile configurare ad hoc i propri WaF (Web Application Firewall) o IPS (Intrusion prevention systems)
Personalmente sto testando delle regole sul WaF modsecurity, spero di pubblicarle presto…rimanete in contatto
sans.edu
转载于:https://www.cnblogs.com/Le30bjectNs11/p/4434253.html
相关资源:MS15-034 HTTP.sys 远程执行代码(CVE-2015-1635)POC