Windows HTTP.sys远程代码执行漏洞

  • 来源:深信服安全中心
  • 发布时间:2015-04-30
#

事件描述

    2015年4月15日,微软在4月的补丁日公布了一个Windows HTTP.sys远程代码执行漏洞。该漏洞一经发布,立刻引来业界的高度关注,其震荡性不亚于Windows领域的心脏出血时间。凡是安装了微软IIS6.0以上版本的Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2、Windows 7、Windows 8和Windows 8.1版本的操作系统均受到该漏洞影响。

    攻击者成功利用该漏洞可导致系统蓝屏,甚至触发远程代码在目标系统中以系统权限执行,用户的网站有可能因此而遭受篡改、黑链、用户信息泄露,甚至更严重的攻击。该漏洞的危害评级为“严重”。

    此外,深信服全网扫描平台监测数据显示,受到此次安全事件影响的地区范围较大。其中,以下为全国受该漏洞影响较严重的严重的城市TOP 5:IIScmd.jpg

    由于Windows操作系统应用广泛,该漏洞也在广大用户中造成了不可估量安全风险。以往经验表明,在微软已经公开漏洞信息之后用户未安装补丁之前是黑客入侵的高危时间。一些对安全漏洞信息极度感兴趣的黑链产业工作者将会利用漏洞信息尝试攻击行为。因此,未安装补丁的用户应对该漏洞高度警惕。

专家解读

    Windows HTTP.sys远程代码执行漏洞是本次微软补丁日所发布的危害等级为“严重”的一个漏洞。该漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中,当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此漏洞。 成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。若要利用此漏洞,攻击者必须将经特殊设计的 HTTP 请求发送到受影响的系统。 通过修改 Windows HTTP 堆栈处理请求的方式,安装更新可以修复此漏洞。

    IIS由于使用量较大,出现的问题不少,很多大型企业或组织深受其危害,面对http.sys漏洞时,务必谨慎,结合自身业务和网络环境,定制修补计划。

漏洞详情请参见:Windows HTTP.sys远程代码执行漏洞


解决方案

1、及时升级微软官方安全补丁

    微软已于北京时间4月15日发布安全公告(MS15-034)说明将通过升级补丁修复该漏洞,用户可通过Windows update获取该补丁包。深信服安全专家建议您及时安装微软官方补丁,官方公告:http://technet.microsoft.com/security/bulletin/MS15-034

2、禁用IIS内核缓存降低漏洞影响

    您还可以通过禁用IIS内核缓存降低漏洞带来的影响,待升级官方补丁后,再启用IIS内核缓存,避免攻击者利用漏洞给组织单位造成损失。禁用IIS内核缓存的官方教程:https://technet.microsoft.com/en-us/library/cc731903(v=ws.10).aspx

3、部署深信服下一代防火墙进行防御

    深信服安全专家在微软公布漏洞后的24小时内发布了紧急IPS特征库, 如果购买了深信服下一代防火墙,请升级IPS特征库到20150415及其以后的版本