安全狗:HTTP.SYS远程执行代码漏洞分析 (MS15-034 )

【作者:安全狗安全研究团队】

写在前言:

在2015年4月安全补丁日,微软发布了11项安全更新,共修复了包括Microsoft Windows、Internet Explorer、Office、.NET Framework、Server软件、Office Services和Web Apps中存在的26个安全漏洞。其中就修复了HTTP.sys 中一处允许远程执行代码漏洞,编号为:CVE-2015-1635(MS15-034 )。目前服务器安全狗已经更新了安全补丁,建议及时修复安全狗提示给您的漏洞信息,以免漏洞被利用遭到攻击。

据称,利用HTTP.sys的安全漏洞,攻击者只需要发送恶意的http请求数据包,就可能远程读取IIS服务器的内存数据,或使服务器系统蓝屏崩溃。

根据公告显示,该漏洞对服务器系统造成了不小的影响,主要影响了包括Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows 8.1 和 Windows Server 2012 R2在内的主流服务器操作系统。

安全狗安全研究团队的小伙伴们在得知这一漏洞情况后,也对其进行了深入挖掘研究,下面就将相关信息结果分享给大家。如果有任何想法,以及进一步的利用操作,也欢迎指教讨论。

1. 首先对补丁文件做了二进制比对

以下是Windows 7 修复前后HTTP.SYS的变化。

值得注意的经验是,每个函数名中都有’range’。 这不禁让我想起了之前Apache HTTPd ‘Range’ 头漏洞, (参见RFC2616章14.35节)。

漏洞数据由 ‘range’ 头带入已经毋庸置疑。 下面要做的是深入研究其产生的原因。如IDA 自动分析出的的HTTP!UlpParseRange 函数的调用关系图所示:

这里我使用Vmware搭建了一个未打补丁的Windows 7 SP1 作为测试目标,并且启用了内核调试器, 对所有关键函数设置断点,收集关键数据和内核信息。

在断点被触发之后, 堆栈信息会被打印出来, 接着程序继续执行.  我们使用了之前的Apache Rangedos 测试样本针对目标服务器做了攻击性测试, 调试器捕获到了下面这些信息:

标准的Apache RangeDos 脚本确实产生了效果,下面让我们更进一步的来看一下 HTTP!UlpParseRange 函数的实现:

在旧代码的调试中发现函数在此处调用了一个很大的整数。

而新版本的代码调用了HTTP!RtlULongLongAdd 来检查是否有整数溢出。 注意,这个HTTP.sys内的函数调用5个参数而不是3个参数。重复之前的测试脚本, 就会发现系统返回的错误代码是0xC000000D(STATUS_INVALID_PARAMETER),而不再是STATUS_INTEGER_OVERFLOW 。

修正之后的一个简单的POC测试脚本如下(此脚本仅用来解析证明模块内部对Range头参数的解析过程)。

接着让我们在未打补丁的模块上下断点。

非常明显了。EAX 是0x7A69 (Poc中设置的range上限 31337), EDI 是0x539(Poc中设置的range下限 1337)。 在老代码中,如果我们的下限是0,则上限不会做如此的改变。在上限非常大的时候(整数临界值), 我们加1, 就会发生整数溢出。 HexRays 的输出更加明了:

*(_QWORD *)v18 = __PAIR__(v22, v23) – __PAIR__(v21, v20) + 1.让我们来试试看。

这时候可以看到上限已经非常的大了(0xFFFFFFFF)。代码接着执行。

We can see that EAX is predictably small now.  Now that we have some indication of what the pre-patch block is doing, let’s look at the patch again.

最后EAX在加1之后溢出变成了0. 让我们再看看打过补丁的模块:

使用同样的手法, 我们得到了一个不同的错误信息. 有趣的是很多情况下都会产生这个错误信息(比如节点深度问题等)。但是我们的主要目标是判断是否打补丁, 所以这个没什么大碍. 现在让我们回到系统是否打补丁的预判上.

一种方法让未打补丁的模块返回STATUS_INVALID_PARAMETER错误信息的方法就是使下面代码的关键处校验失败。

使用调试器动态改变跳转条件, 我们可以让服务器返回下面这个有趣的页面(手工内存补丁成功):

打完补丁以后当你提交了包含非法range头字段的http包的时候, 系统会报上面的错误。

如果没打补丁你看到的就是下面这样:

这就是判断是否打了补丁的关键.

打了补丁:  HTTP!RtlULongLongAdd在遇到非法range头的时候会返回一个 STATUS_INVALID_PARAMETER 错误, 接着HTTP!UlpParseRang 产生一个”Invalid Header” 错误信息给客户端.

打了补丁:  HTTP!UlpParseRange 返回 0, 接着产生一个 “Requested Range Not Satisfiable”.错误信息给客户端.

2、漏洞测试脚本:

  1. #sutff.py
  2. import socket
  3. import random
  4. ipAddr = "这里填入检测IP地址"
  5. hexAllFfff = "18446744073709551615"
  6. req1 = "GET / HTTP/1.0\r\n\r\n"
  7. req = "GET / HTTP/1.1\r\nHost: stuff\r\nRange: bytes=0-" + hexAllFfff + "\r\n\r\n"
  8. print "[*] Audit Started"
  9. client_socket = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
  10. client_socket.connect((ipAddr, 80))
  11. client_socket.send(req1)
  12. boringResp = client_socket.recv(1024)
  13. if "Microsoft" not in boringResp:
  14. print "[*] Not IIS"
  15. exit(0)
  16. client_socket.close()
  17. client_socket = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
  18. client_socket.connect((ipAddr, 80))
  19. client_socket.send(req)
  20. goodResp = client_socket.recv(1024)
  21. if "Requested Range Not Satisfiable" in goodResp:
  22. print "[!!] Looks VULN"
  23. elif " The request has an invalid header name" in goodResp:
  24. print "[*] Looks Patched"
  25. else:
  26. print "[*] Unexpected response, cannot discern patch status"

一个简单的检测方法:

curl http://xxx.com/ -H "Host: irrelevant" -H "Range: bytes=0-18446744073709551615"|grep "range is not satisfiable"

有发现 返回”range is not satisfiable”就说明有漏洞了.

3、修复方法

(1)下载安装最新版服务器安全狗

选择服务器优化-->系统漏洞修复-->修复漏洞.

(2)开启网站安全狗实时防护功能,实时防护服务器网站安全

安全狗下载地址:www.safedog.cn

微软报告:

https://technet.microsoft.com/en-us/library/security/MS15-034

相关连接

http://blog.beyondtrust.com/the-delicate-art-of-remote-checks-a-glance-into-ms15-034

时间: 2024-10-13 14:52:50

安全狗:HTTP.SYS远程执行代码漏洞分析 (MS15-034 )的相关文章

HTTP.SYS远程执行代码漏洞分析

社区:i春秋 时间:2016年8月10日 作者:MAX丶 大家肯定用过bugscan老板裤子里面经常出现这个漏洞提示. [xxx存在http.sys远程漏洞]今天我们来分析分析这漏洞如何存在的, 据称,利用HTTP.sys的安全漏洞,攻击者只需要发送恶意的http请求数据包,就可能远程读取IIS服务器的内存数据,或使服务器系统蓝屏崩溃. 根据公告显示,该漏洞对服务器系统造成了不小的影响,主要影响了包括Windows 7.Windows Server 2008 R2.Windows 8.Windo

HTTP.sys 远程执行代码验证工具

漏洞信息: 远程执行代码漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中,当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此漏洞.这里将测试工具改成windows版本方便工作. 代码: /* UNTESTED - MS15-034 Checker THE BUG: 8a8b2112 56 push esi 8a8b2113 6a00 push 0 8a8b2115 2bc7 sub eax,edi 8a8b2117 6a01 push 1 8a8b2119 1bca

CVE-2013-1347Microsoft Internet Explorer 8 远程执行代码漏洞

[CNNVD]Microsoft Internet Explorer 8 远程执行代码漏洞(CNNVD-201305-092) Microsoft Internet Explorer是美国微软(Microsoft)公司发布的Windows操作系统中默认捆绑的Web浏览器.         Internet Explorer 访问尚未正确初始化或已被删除的对象的方式中存在一个远程执行代码漏洞,该漏洞可能以一种攻击者可以在当前用户的上下文中执行任意代码的方式损坏内存.攻 击者可能拥有一个特制的网站,

Microsoft Windows 远程桌面服务远程执行代码漏洞(CVE-2019-0708)

Windows是一款由美国微软公司开发的窗口化操作系统. 当未经身份验证的攻击者使用 RDP 连接到目标系统并发送经特殊设计的请求时,远程桌面服务(以前称为“终端服务”)中存在远程执行代码漏洞.此漏洞是预身份验证,无需用户交互. <*来源:Microsoft 链接:https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0708 *> 解决办法 厂商补丁: Microsoft --------- M

Microsoft .NET Framework 远程执行代码漏洞

受影响系统:Microsoft .NET Framework 4.8Microsoft .NET Framework 4.7.2Microsoft .NET Framework 4.7.1Microsoft .NET Framework 4.7Microsoft .NET Framework 4.6.2Microsoft .NET Framework 4.6.1Microsoft .NET Framework 4.6Microsoft .NET Framework 4.5.2Microsoft

PowerShell ISE/文件名解析缺陷远程执行代码漏洞#RCE

https://vulners.com/zdt/1337DAY-ID-32642 基础信息 ID 1337DAY-ID- 32642 类型 zdt Reporter hyp3rlinx 修改后的 2019-05-03 00:00:00 描述 在调试包含数组括号作为文件名一部分的特制PowerShell脚本时,Microsoft Windows PowerShell ISE将执行错误提供的代码.这可能导致ISE执行由文件名指向的攻击者提供的脚本,而不是当前加载主机应用程序中用户查看的"可信&quo

Linux下Bash 远程执行代码漏洞,重要赶紧修复

CVE-2014-6271: remote code execution through bash漏洞具体介绍地址:http://seclists.org/oss-sec/2014/q3/650可以执行: env t='() { :;}; echo You are vulnerable.' bash -c "true" 进行测试,如提示You are vulnerable. 那就存在漏洞,就需要修补.系统为cent os ,该漏洞修复方法:  yum update bash -y 系统

中国寒龙出品-Windows IE浏览器OLE自动化阵远程执行代码漏洞

## # This module requires Metasploit: http://metasploit.com/download # Current source: https://github.com/rapid7/metasploit-framework ## require 'msf/core' require 'msf/core/exploit/powershell' class Metasploit4 < Msf::Exploit::Remote Rank = Excellen

齐博cms最新SQL注入网站漏洞 可远程执行代码提权

齐博cms整站系统,是目前建站系统用的较多的一款CMS系统,开源,免费,第三方扩展化,界面可视化的操作,使用简单,便于新手使用和第二次开发,受到许多站长们的喜欢.开发架构使用的是php语言以及mysql数据库,强大的网站并发能力.于近日,我们SINE安全公司发现齐博cms又爆出高危的sql注入漏洞,关于该网站漏洞的详情,我们来详细的分析漏洞的产生以及如何利用. 在对整个网站代码的漏洞检测中发现do目录下的activate.php存在可以插入恶意参数的变量值,我们来看下这个代码: 齐博cms漏洞详