MS15-034 HTTP.sys (IIS) DoS And Possible Remote Code Execution – AGGIORNAMENTO CRITICO

Introduzione

E’ stata rilevato un nuovo attacco tramite exploit verso il demone IIS (Internet Information Server) dei sistemi operativi Windows.

In realtà la libreria vulnerabile si chiama  HTTP.sys che viene utilizzata maggiormente dal demone ISS, ma non solo, teoricamente tutti i programmi che ne usufruiscono sono a rischio!

A cosa serve la libreria HTTP.sys?

Per farla breve e semplice la sua funzione è quella di elaborare richieste HTTP.

Tipologia di vulerabilità e Exploit

Microsoft ha classificato questa vulnerabilità come Remote Code Execution, ma per adesso pubblicamente sono stati rilasciati exploit ti tipologia DoS:

MS Windows (HTTP.sys) HTTP Request Parsing DoS (MS15-034)
Microsoft Window – HTTP.sys PoC (MS15-034)

Sistemi a rischio

Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows 8.1, e Windows Server 2012 R2 con a bordo almeno IIS 6.

Test di vulnerabilità

Per testare il proprio sistema basta eseguire una semplice chiamate GET verso IIS con un particolare HEADER:

curl -v [ipaddress]/ -H "Host: MS15034" -H "Range: bytes=0-18446744073709551615" 
wget -O /dev/null --header="Range: 0-18446744073709551615" http://[ip address]/

Se il sistema è vulnerabile si riceverà la risposta:

"Requested Header Range Not Satisfiable"

Come proteggersi

1) Aggiornare il sistema con la patch rilasciata da Microsoft il 14 Febbraio: MS15-034

2) Nell’impossibilità di poter aggiornare nell’immediato il sistema operativo, è possibile configurare ad hoc i propri WaF (Web Application  Firewall) o IPS (Intrusion prevention systems)

Personalmente sto testando delle regole sul WaF modsecurity, spero di pubblicarle presto…rimanete in contatto 

Link di riferimento

sans.edu

时间: 2024-11-10 11:00:50

MS15-034 HTTP.sys (IIS) DoS And Possible Remote Code Execution – AGGIORNAMENTO CRITICO的相关文章

os.waitpid()无法获取sys.exit()退出时的status code

[目的] 父进程使用os.waitpid()等待子进程退出,并检测子进程的exit code,以决定是否重启子进程. (常见的应用场景是:子进程接收外部命令,收到"stop"时退出所有进程,终止服务:收到"restart"时所有子进程退出,父进程重启所有子进程,以达到重启服务的目的). 这里面的关键点在于,子进程退出时设置exit code,父进程waitpid时获取该exit code,进而决定是否需要重启子进程. [问题] 子进程 ...#need restar

IIS OCIEnvCreate failed with return code -1

现象:windows server2008服务器,MVC使用NHiberate连接Oracle11g,程序部署到IIS后无法访问数据库,抛上述异常:在服务器上安装VS调试可以访问数据库 解决方法:连接池-->高级设置-->Enable 32-Bit Applications设为true(默认为false) (只有server服务器有该配置) IIS OCIEnvCreate failed with return code -1,布布扣,bubuko.com

Metasploit辅助模块

msf > show auxiliary Auxiliary ========= Name                                                  Disclosure Date  Rank       Description ----                                                  ---------------  ----       ----------- admin/2wire/xslt_pass

Web API 入门指南 - 闲话安全

参考页面: http://www.yuanjiaocheng.net/Spring/first.html http://www.yuanjiaocheng.net/entity/modelbrowser.html http://www.yuanjiaocheng.net/entity/dbcontext.html http://www.yuanjiaocheng.net/mvc/first.html http://www.yuanjiaocheng.net/webapi/first.html W

Web API 安全

转载自微软互联网开发支持 Web API入门指南 有些朋友回复问了些安全方面的问题,安全方面可以写的东西实在太多了,这里尽量围绕着Web API的安全性来展开,介绍一些安全的基本概念,常见安全隐患.相关的防御技巧以及Web API提供的安全机制. 目录 Web API 安全概览 安全隐患 1. 注入(Injection) 2. 无效认证和Session管理方式(Broken Authentication and Session Management) 3. 跨站脚本(Cross-Site Scr

Windows提权列表

漏洞列表 #Security Bulletin #KB #Description #Operating System CVE-2017-0213 [Windows COM Elevation of Privilege Vulnerability] (windows 10/8.1/7/2016/2010/2008) MS17-010 [KB4013389] [Windows Kernel Mode Drivers] (windows 7/2008/2003/XP) MS16-135 [KB3199

metasploit--exploit模块信息

Name                                             Disclosure Date  Rank    Description ----                                             ---------------  ----    ----------- aix/rpc_cmsd_opcode21                                          2009-10-07    

Common Internet File System

CIFS (Common Internet File System) is a protocol that gained popularity around the year 2000, as vendors worked to establish an Internet Protocol-based file-sharing protocol. The Common Internet File System (CIFS) is the standard way that computer us

nginx配合modsecurity实现WAF功能

一.准备工作 系统:centos 7.2 64位.nginx1.10.2, modsecurity2.9.1 owasp3.0 1.nginx:http://nginx.org/download/nginx-1.10.2.tar.gz 2.modsecurity for Nginx: https://www.modsecurity.org/tarball/2.9.1/modsecurity-2.9.1.tar.gz 3.OWASP规则集:https://github.com/SpiderLabs