Krytyczny zdalny błąd w usłudze HTTP Microsoftu

Odpowiednio skonstruowane żądanie HTTP może doprowadzić do wykonania dowolnego kodu z uprawnieniami administratora w każdej usłudze Microsoftu działającej w oparciu o HTTP. Takiego błędu już dawno nie widzieliśmy.
Pewnie niektórzy z Was pamiętają czasy, kiedy kwartał bez błędu umożliwiającego zdalne wykonanie kodu w serwerach IIS był ewenementem. Mimo iż dzisiaj jakość kodu i mechanizmów zabezpieczających znacznie wzrosła, to jak widać błędy podobnej kategorii dalej się zdarzają.
Scenariusz jak z horroru
W wydanym własnie biuletynie bezpieczeństwa MS15-034 już sam tytuł sugeruje poważne zagrożenie. Zdalne wykonanie kodu z powodu błędu w komponencie HTTP.sys nie brzmi dobrze. W praktyce zagrożenie to oznacza, że każda usługa w systemie Microsoftu korzystająca ze standardowych mechanizmów obsługi HTTP jest podatna na zdalny atak. Co więcej, atakujący może wykonać dowolne polecenie z uprawnieniami SYSTEM, czyli od razu uzyskuje pełna kontrolę nad systemem operacyjnym. Wynika to z architektury obsługi żądań HTTP, przeniesionej po części do jądra systemu dla zwiększenia wydajności procesu.
Podatne na ten błąd są wszystkie wspierane wersje systemu Windows, zarówno klienckie jak i serwerowe. Nie ma znaczenia, czy HTTP udostępniane jest za pomocą serwera IIS czy serwer WWW wystawiony jest w oparciu o aplikację stworzoną w .NET – wszystkie tego rodzaju usługi są podatne.
Nietypowy odkrywca
W polu „zgłaszający błąd” znajduje się ciekawy wpis: “…the Citrix Security Response Team…” (cytujemy w oryginalnym brzmieniu, łącznie z cudzysłowem i kropkami). Jeśli zgłaszającym jest zespół reakcji na incydenty bezpieczeństwa, można przypuszczać, że błąd został odkryty przy okazji analizy ataku w świecie rzeczywistym, co oznaczałoby, że ktoś próbował go już wcześniej wykorzystać. Z drugiej strony Microsoft w swoim biuletynie pisze „W momencie publikacji biuletynu Microsoft nie otrzymał informacji wskazujących by podatność ta była publicznie używana do atakowania klientów„. Zdanie to tylko pozornie stoi w sprzeczności z wyżej prezentowaną teorią o odkryciu błędu – kluczem może być słowo publicznie.
Nie wiemy jeszcze na czym konkretnie błąd polega, ale bez wątpienia niejeden zespół porównuje już pliki binarne i analizuje wprowadzone zmiany. W zależności od stopnia złożoności błędu obstawiamy, że odpowiedni moduł Metasploita pojawi się za 1-7 dni. Nie czekajcie z łataniem.
Podobne wpisy
- Wykorzystywanie odcisku palca dokumentu w Microsoft Data Loss Prevention
- Podstawy Bezpieczeństwa: Microsoft Defender – jak go najlepiej skonfigurować
- Jak Facebook kupił exploita na Tailsa, by pomóc w złapaniu groźnego przestępcy
- Kryptografia jest trudna, czyli CVE-2020-0601 aka CurveBall aka ChainOfFools
- Masowy atak na użytkowników iPhone’ów przez dwa lata infekował urządzenia
No to grubo.
„Podatne na ten błąd są wszystkie wspierane wersje systemu Windows”. Nie wymieniono tam Visty oraz Server 2003 R2.
Jak żyć ? Dl614+ ? Przez okno wyjebac zaprzeproszeniem ? I miec swiety spokoj :) ?
jest już logo? :D
Read and weep:
https://ma.ttias.be/remote-code-execution-via-http-request-in-iis-on-windows/
No tak, podatność nie jest używana publicznie, tylko prywatnie ;-).
Ha, wiadomo produkty MS to siedlisko dziur
Czemnu nie piszą o tym nigdzie? Ani wzmianki np. na thehackernews.com. Testował ktoś:
$ curl -v [IIS address]/ -H „Host: irrelevant” -H „Range: bytes=0-18446744073709551615”
U mnie nic się nie wywaliło.
Spróbuj składnię z http://zaufanatrzeciastrona.pl/post/pierwszy-exploit-na-ms15-034/
Sprawdziłem https://lab.xpaw.me i wygląda na to, że Windows Update już to u mnie naprawił. Dzięki za odpowiedź.
To je Microsoft