关于微软IIS服务器存在HTTP.SYS远程代码执行漏洞的预警通报

23.04.2015  12:56
    4月14日,微软月度例行安全公告披露一个编号为MS15-034的IIS远程代码执行漏洞(CNVD-2015-02422,对应CVE-2015-1635),主要威胁到IIS服务器的安全。该漏洞存在于 HTTP 协议堆栈 (HTTP.SYS) 中,攻击者可以在系统帐户的上下文中执行任意代码或提升权限。目前,互联网已经出现了可以使服务器蓝屏的利用代码,不过可导致控制服务器主机的攻击代码还未出现。CNVD评估认为,一旦可用的远程执行利用代码被披露,则有可能造成大规模的针对IIS服务器的攻击。
      一、漏洞情况分析       IIS是微软提供的WEB服务程序,全称InternetInformation Services,可以提供HTTP、HTTPS、FTP等相关服务,同时支持ASP、JSP等WEB端脚本,应用广泛。IIS服务进程依赖HTTP.SYS内核驱动程序文件。漏洞产生的原因是HTTP.SYS未能正确分析经特殊设计的HTTP请求所致,通过发送特定构造的HTTP请求包(如:在请求包中相关字段包含类似0xFFFFFFFFFFFFFFFF的大整数值参数),导致整数溢出。成功利用后,攻击者有可能在system帐户的上下文中执行任意代码,导致拒绝服务或提取权限。目前相关分析表明,漏洞的溢出只限于整数型参数,直接构造可执行系统指令的攻击代码还有一定的难度。       二、漏洞影响范围       受影响操作系统的IIS服务器版本有:WindowsServer 2012、WindowsServer 2012 R2       用于基于32位系统:Windows7 SP1、Windows8       用于基于x64位系统:Windows7 SP1、Windows8、Windows8.1、WindowsServer 2008 R2 SP1       用于基于 Itanium 的系统:WindowsServer 2008 R2 SP1       三、漏洞修复建议       通过修改 Windows HTTP 堆栈处理请求的方式,可以修复此漏洞。CNVD建议采用微软发布的修复补丁,请广大用户尽快下载更新:        https://support.microsoft.com/zh-cn/kb/3042553       注:在打完微软提供的补丁后,系统必须重启修复才会生效。       此外,一些系统管理员在部署微软的Server系统时可能不作为Web服务器使用,但有可能在默认安装了IIS,请相关单位用户注意排查。       参考链接:       https://technet.microsoft.com/zh-CN/library/security/ms15-034.aspx       https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1635       http://bobao.360.cn/news/detail/1435.html?from=groupmessage&isappinstalled=0