Programmering

4 no-bull fakta om Microsofts HTTP.sys sårbarhed

Tidligere på ugen offentliggjorde Microsoft mellem alle sine andre patch meltdowns detaljer om en sårbarhed (MS15-034), der påvirker Windows HTTP-stakken.

Lyder som et problem, der kun påvirker Windows-servere, ikke? Forkert - det rammer en hel række Windows-produkter, herunder desktop versioner af Windows.

Her er fire af de mest afgørende noter om denne sårbarhed, som Microsoft allerede har læst en patch til.

1. Problemet påvirker systemer, der ikke er servere eller endda kører IIS

HTTP.sys, den sårbare Windows-komponent i dette spørgsmål, er en enhedsdriver i kernetilstand, der bruges til at behandle HTTP-anmodninger i høj hastighed. IIS 6.0 og nyere gør brug af det, hvilket betyder, at det har været en del af Windows siden 2003. (Ikke alle programmer, der fungerer som webservere i Windows, har brugt HTTP.sys, som dette indlæg fra 2011 dokumenterede.)

Det virkelige problem er, at HTTP.sys ikke kun findes i serverversionerne af Windows - det er også til stede i Windows 7 og Windows 8 (og 8.1). Det betyder, at ethvert desktop-system, der ikke patches flittigt, også er sårbart over for dette problem.

2. Det er let at udnytte

Microsoft har bevidst været vag om, hvad der skal til for at udnytte denne sårbarhed, idet det kun sagde "en specielt udformet HTTP-anmodning" kunne bruges til at udløse den. Mattias Geniar fra udbyderen af ​​hostingløsninger Nucleus hævder at have sporet "de første uddrag af udnyttelseskode" til problemet.

3. Denne række angreb er blevet brugt på andre webservere

Ifølge Geniar kan angrebet udføres ved simpelthen at sende en enkelt HTTP-anmodning med en misformet rækkevidde-anmodningsoverskrift, en teknik, der normalt bruges til at tillade en vært at hente en del af en fil fra en webserver.

Tilbage i 2011 blev et vagt lignende angreb dokumenteret for Apache HTTPD-webserveren. Denne sårbarhed blev patchet hurtigt nok, og en løsning (note: hollandsk tekst på side) kunne også implementeres ved at redigere .htaccess-filen til et givet websted. Men dette angreb påstås at arbejde på systemer, der ikke formelt kører en webserver, hvilket komplicerer sagen.

4. Du kan nemt kontrollere, om du er sårbar

Nu for nogle gode nyheder: Det er relativt let at fortælle, om en server, du har at gøre med, er blevet patched eller ikke. Udvikleren "Pavel" har oprettet et websted (med open source-kode), der gør det muligt at teste enhver offentligt vendt webserver for tilstedeværelsen af ​​fejlen. Hvis værktøjet siger, at noget andet end "[domæne] er patched", bør du hellere undersøge opdateringen af ​​det pågældende system.

Bundlinie: Patch, hvis du ikke har det, og vær forsigtig med, hvordan dette problem potentielt kan påvirke systemer, der i første omgang aldrig var beregnet til at være servere.