Windows HTTP.sys远程代码执行漏洞

漏洞描述

    HTTP.sys是一个运行于Microsoft Windows内核模式下的驱动程序,能够让任何应用程序通过它提供的接口,以http协议进行信息通讯。

    由于HTTP.sys错误解析某些特殊构造的HTTP请求,导致远程代码执行漏洞。远程攻击者可以通过IIS 7.0(或更高版本)服务将恶意的HTTP请求传递给HTTP.sys驱动。成功利用此漏洞可导致IIS系统蓝屏,执行任意代码,甚至网站遭受网页篡改、黑链、用户信息泄露,以及更严重的攻击风险。

检测方案

检测工具:IIS_cmd.py

检测说明:在安装有python环境的windows或linux下运行上述工具

检测方法:在linux环境下运行 [test@localhost]$ python IIS_cmd.py 域名/IP,

          例如 [test@localhost]$ python IIS_cmd.py www.test.com

          在windows环境下运行 C:\Users\test> python IIS_cmd.py 域名/IP, 

          例如:\Users\test> python IIS_cmd.py www.test.com

解决方案

1、及时升级微软官方安全补丁

    微软已于北京时间4月15日发布安全公告(MS15-034)说明将通过升级补丁修复该漏洞,用户可通过Windows update获取该补丁包。深信服安全专家建议您及时安装微软官方补丁,官方公告:http://technet.microsoft.com/security/bulletin/MS15-034

2、禁用IIS内核缓存降低漏洞影响

    您还可以通过禁用IIS内核缓存降低漏洞带来的影响,待升级官方补丁后,再启用IIS内核缓存,避免攻击者利用漏洞给组织单位造成损失。禁用IIS内核缓存的官方教程:https://technet.microsoft.com/en-us/library/cc731903(v=ws.10).aspx

3、部署深信服下一代防火墙进行防御

    深信服安全专家在微软公布漏洞后的24小时内发布了紧急IPS特征库, 如果购买了深信服下一代防火墙,请升级IPS特征库到20150415及其以后的版本