9:19
15/4/2015

Wystarczy jeden odpowiednio spreparowany pakiet HTTP posłany w stronę serwera IIS, aby atakujący był w stanie wykonać własny kod na systemie ofiary — od razu z uprawnieniami administratora. Systemem tym może być każdy z obecnie wspieranych Windowsów, zarówno w wersji klienckiej jak i serwerowej.

Na chwilę obecną wiadomo tylko tyle, że błąd, któremu nadano identyfikator CVE-2015-1635 znajduje się w HTTP.sys i został usunięty wczorajszą poprawką Microsoftu. Na waszym miejscu nie czekalibyśmy z jej zaaplikowaniem. Zapewne wczoraj sporo osób odpaliło fuzzery i niebawem w internecie pojawi się kod exploita umożliwiającego wykonanie ataków.

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

20 komentarzy

Dodaj komentarz
  1. Trzeba tego ISS-a instalować/uruchamiać specjalnie, czy też “tak sobie” nasłuchuje cały czas? Bo na dziurę W Windowsie jako takim jakoś mi to nie wygląda.

    • z tego, co kojarzę, to IIS nie jest instalowany automatycznie razem z windowsem.

    • tytul rodem z onetu. blad jest w jednym programie a nie w systemie operacyjnym windows.

  2. To jest składnik Windows, który trzeba doinstalować/włączyć. Błąd bardzo poważny, ale dotyczący mniej niż 1% użytkowników.

    • “mniej niż 1% użytkowników”? Domowych — owszem, ale serwerowych już niekoniecznie.

    • Większość serwerowych będzie posiadać postawiony iis, zwłąszcza jeśli działa na nich RDP(ta rola od serwera 2012 obecnie wymaga IIS). IIS jest wygodny do szybkiego stawiania prostych stron. Pytanie ile z tych serwerów jest wystawionych (żaden z moich nie jest, mam ich kilka)

  3. taki gruby błąd i nie ma swojego akronimu, loga ani maskotki? nie powinni takich w ogóle klasyfikować jako CVE-* …

  4. “Systemem tym może być każdy z obecnie wspieranych Windowsów” – domyślam się, że podatność dotyczy również najnowszej wersji http.sys z XP SP3 (5.1.2600.5891). Rozwiązaniem powinna być bądź łatka dla wersji POS, bądź ręczna instalacja załatanej wersji sterownika pochodzącej z łatki dla Server 2003 (póki co jeszcze wspieranego).

  5. Jeśli HTTP.SYS to nie tylko IIS…
    O sterownik HTTP.SYS oparta jest cała technologia WCF na bazie której buduje się aplikacje web, WebServices, WebAPI, itd. Mogą one być hostowane na IIS’e lecz mogą również działać jako niezależne aplikacje w tzw trybie self-hosted.

    Grubo :-)

    • Bardzo grubo :-( A dotyka od win7/2008r2 w górę. Słusznie robiłem nie dając aplikacji RDP dostępnych przez www na 2008r2. Tylko teraz poczekajmy na działającego exploita bo sama podatność to jeszcze nie wszystko.

  6. Czyżby błąd nie istniał w Viście? Czy też Vista nie ma tej usługi albo może MS ją olało? To ostatnie wydaje się mimo wszystko mało prawdopodobne, bo aktualizacje systemowe cały czas są wydawane.

  7. Czyli że to forever-day dla Windowsa XP? Wydaje mi się, że nadal około 20% polskich używanych komputerów jest pod kontrolą tego systemu…

    • Jeśli sugestie które padły powyżej są zgodne z rzeczywistością (oby), NT 5.x powinno być bezpieczne…

    • (…a nawet jeśli podatność dotyczy XP/2k3, to przynajmniej tego ostatniego raczej na pewno załatają i nowy http.sys z 2k3 będzie można wrzucić do XP, (a zapewnie będzie też łatka dla XP POS), jak już wspomniałem w jednym z wpisów wyżej.)

  8. Dżamp na linuxa?

  9. exploit juz dostepny: http://www.exploit-db.com/exploits/36773/

    • lol.. exploit…

  10. A Pingwinek ciągle bezpieczny.

    http://blog.kiritanflux.de/wp-content/gallery/tux_borg.jpg
    You will be assimilated. Resistance is futile.

    • Niestety Linuks od dłuższego czasu ma swojego własnego wewnętrznego “borga” o nazwie systemd, który asymiluje co się da (a nawet co nigdy nie powinno, przynajmniej z punktu widzenia filozofii uniksowej). Z oponentów na placu boju wciąż jest Gentoo, Slackware, Gentoo, PCLinuxOS, i nie wiem czy coś jeszcze.

      https://www.youtube.com/watch?v=bdmv2FQRHWg

  11. Xxx jak dla mnie (o ile znam c…) to raptem test na podatność, a nie jakiś code injection.
    Dodatkowo nie ma opisanego sposobu na wstrzyknięcie kodu. To co wkleiłeś to tylko sprawdzenie response’a …

    Ktoś da jakieś konkrety?

    P.S. Jak uwielbiam nie bezpiecznik to artykuł z serii interia – coś jest ale nie wiadomo jak i dlaczego i jest fajnie bo tak…

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.