Odpowiednio skonstruowane żądanie HTTP może doprowadzić do wykonania dowolnego kodu z uprawnieniami administratora w każdej usłudze Microsoftu działającej w oparciu o HTTP. Takiego błędu już dawno nie widzieliśmy.
Pewnie niektórzy z Was pamiętają czasy, kiedy kwartał bez błędu umożliwiającego zdalne wykonanie kodu w serwerach IIS był ewenementem. Mimo iż dzisiaj jakość kodu i mechanizmów zabezpieczających znacznie wzrosła, to jak widać błędy podobnej kategorii dalej się zdarzają.
Scenariusz jak z horroru
W wydanym własnie biuletynie bezpieczeństwa MS15-034 już sam tytuł sugeruje poważne zagrożenie. Zdalne wykonanie kodu z powodu błędu w komponencie HTTP.sys nie brzmi dobrze. W praktyce zagrożenie to oznacza, że każda usługa w systemie Microsoftu korzystająca ze standardowych mechanizmów obsługi HTTP jest podatna na zdalny atak. Co więcej, atakujący może wykonać dowolne polecenie z uprawnieniami SYSTEM, czyli od razu uzyskuje pełna kontrolę nad systemem operacyjnym. Wynika to z architektury obsługi żądań HTTP, przeniesionej po części do jądra systemu dla zwiększenia wydajności procesu.
Jedna z podatnych usług
Podatne na ten błąd są wszystkie wspierane wersje systemu Windows, zarówno klienckie jak i serwerowe. Nie ma znaczenia, czy HTTP udostępniane jest za pomocą serwera IIS czy serwer WWW wystawiony jest w oparciu o aplikację stworzoną w .NET – wszystkie tego rodzaju usługi są podatne.
Nietypowy odkrywca
W polu „zgłaszający błąd” znajduje się ciekawy wpis: “…the Citrix Security Response Team…” (cytujemy w oryginalnym brzmieniu, łącznie z cudzysłowem i kropkami). Jeśli zgłaszającym jest zespół reakcji na incydenty bezpieczeństwa, można przypuszczać, że błąd został odkryty przy okazji analizy ataku w świecie rzeczywistym, co oznaczałoby, że ktoś próbował go już wcześniej wykorzystać. Z drugiej strony Microsoft w swoim biuletynie pisze „W momencie publikacji biuletynu Microsoft nie otrzymał informacji wskazujących by podatność ta była publicznie używana do atakowania klientów„. Zdanie to tylko pozornie stoi w sprzeczności z wyżej prezentowaną teorią o odkryciu błędu – kluczem może być słowo publicznie.
Nie wiemy jeszcze na czym konkretnie błąd polega, ale bez wątpienia niejeden zespół porównuje już pliki binarne i analizuje wprowadzone zmiany. W zależności od stopnia złożoności błędu obstawiamy, że odpowiedni moduł Metasploita pojawi się za 1-7 dni. Nie czekajcie z łataniem.
Komentarze
No to grubo.
„Podatne na ten błąd są wszystkie wspierane wersje systemu Windows”. Nie wymieniono tam Visty oraz Server 2003 R2.
Jak żyć ? Dl614+ ? Przez okno wyjebac zaprzeproszeniem ? I miec swiety spokoj :) ?
jest już logo? :D
Read and weep:
https://ma.ttias.be/remote-code-execution-via-http-request-in-iis-on-windows/
No tak, podatność nie jest używana publicznie, tylko prywatnie ;-).
Ha, wiadomo produkty MS to siedlisko dziur
Czemnu nie piszą o tym nigdzie? Ani wzmianki np. na thehackernews.com. Testował ktoś:
$ curl -v [IIS address]/ -H „Host: irrelevant” -H „Range: bytes=0-18446744073709551615”
U mnie nic się nie wywaliło.
Spróbuj składnię z https://zaufanatrzeciastrona.pl/post/pierwszy-exploit-na-ms15-034/
Sprawdziłem https://lab.xpaw.me i wygląda na to, że Windows Update już to u mnie naprawił. Dzięki za odpowiedź.
To je Microsoft