4月14日,微软月度例行安全公告披露了一个HTTP.sys远程代码执行漏洞,可能允许远程执行代码。国家信息安全共享平台(CNVD)已将该漏洞收录为高危漏洞(编号:CNVD-2015-02422),攻击者可以在系统帐户的上下文中执行任意代码或提升权限,主要威胁到IIS服务器的安全。目前,互联网已经出现了可以使服务器蓝屏的利用代码,但可导致控制服务器主机的攻击代码还未出现。具体情况通报如下:
一、漏洞情况分析
IIS是微软提供的WEB服务程序,可以提供HTTP、HTTPS、FTP等相关服务,同时支持ASP、JSP等WEB端脚本,应用广泛。微软从IIS6.0开始,为了在Windows平台上优化IIS服务器性能而引入了HTTP.sys内核驱动程序。这次漏洞产生的原因是HTTP.sys未能正确分析经特殊设计的HTTP请求所致,通过发送特定构造的HTTP请求包,导致整数溢出。成功利用后,攻击者有可能在系统帐户的上下文中执行任意代码,导致拒绝服务或提取权限。目前相关分析表明,漏洞的溢出只限于整数型参数,直接构造可执行系统指令的攻击代码还有一定难度。
二、漏洞影响范围
根据CNCERT抽样检测结果,截至2015年4月19日,约5.67万个IP地址的IIS服务器存在漏洞,其中约3.15万个已打补丁修复,约2.52万个还存在漏洞且未被修复。
同时,受该漏洞影响的操作系统的IIS服务器包括Windows 7、Windows 8、Windows server 2008、Windows server 2012。CNCERT评估认为,一旦可用的远程执行利用代码被披露,则有可能造成大规模的针对IIS服务器的攻击。
三、漏洞修复建议
通过修改 Windows HTTP 堆栈处理请求的方式,可以修复此漏洞,并且微软已经发布了修复该漏洞的补丁。相关建议如下:
(一)广大用户应尽快下载更新,安装完成后重启系统使补丁生效。补丁下载链接:
https://support.microsoft.com/zh-cn/kb/3042553
(二)相关单位可对使用的微软Server系统进行排查,特别注意不作为Web服务器的系统,可能存在默认安装了IIS服务的情况。
CNCERT将继续跟踪后续情况,如需技术支援,请联系CNCERT。邮箱:cncert@cert.org.cn,电话:010-82990999。
参考链接:
https://www.cnvd.org.cn/webinfo/show/3614
(注:国家信息安全漏洞共享平台(CNVD)、中国反网络病毒联盟(ANVA)成员单位——奇虎360公司、绿盟科技公司和安天公司协助对漏洞情况进行了深入的分析。)