MS15-034 HTTP.sys (IIS) DoS And Possible Remote Code Execution – AGGIORNAMENTO CRITICO

Introduzione

E’ stata rilevato un nuovo attacco tramite exploit verso il demone IIS (Internet Information Server) dei sistemi operativi Windows.

In realtà la libreria vulnerabile si chiama  HTTP.sys che viene utilizzata maggiormente dal demone ISS, ma non solo, teoricamente tutti i programmi che ne usufruiscono sono a rischio!

A cosa serve la libreria HTTP.sys?

Per farla breve e semplice la sua funzione è quella di elaborare richieste HTTP.

Tipologia di vulerabilità e Exploit

Microsoft ha classificato questa vulnerabilità come Remote Code Execution, ma per adesso pubblicamente sono stati rilasciati exploit ti tipologia DoS:

MS Windows (HTTP.sys) HTTP Request Parsing DoS (MS15-034)
Microsoft Window – HTTP.sys PoC (MS15-034)

Sistemi a rischio

Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows 8.1, e Windows Server 2012 R2 con a bordo almeno IIS 6.

Test di vulnerabilità

Per testare il proprio sistema basta eseguire una semplice chiamate GET verso IIS con un particolare HEADER:

curl -v [ipaddress]/ -H "Host: MS15034" -H "Range: bytes=0-18446744073709551615" 

wget -O /dev/null --header="Range: 0-18446744073709551615" http://[ip address]/

Se il sistema è vulnerabile si riceverà la risposta:

"Requested Header Range Not Satisfiable"

Come proteggersi

1) Aggiornare il sistema con la patch rilasciata da Microsoft il 14 Febbraio: MS15-034

2) Nell’impossibilità di poter aggiornare nell’immediato il sistema operativo, è possibile configurare ad hoc i propri WaF (Web Application  Firewall) o IPS (Intrusion prevention systems)

Personalmente sto testando delle regole sul WaF modsecurity, spero di pubblicarle presto…rimanete in contatto 

Link di riferimento

sans.edu