Programmēšana

4 fakti par buļļiem par Microsoft HTTP.sys ievainojamību

Šīs nedēļas sākumā starp visiem pārējiem plākstera bojājumiem Microsoft publicēja informāciju par ievainojamību (MS15-034), kas ietekmē Windows HTTP kaudzīti.

Izklausās pēc problēmas, kas ietekmē tikai Windows serverus, vai ne? Nepareizi - tas skar visu Windows produktu klāstu, ieskaitot darbvirsma Windows versijas.

Šeit ir četras vissvarīgākās piezīmes par šo ievainojamību, kurai Microsoft jau ir sagatavojis plāksteri.

1. Problēma ietekmē sistēmas, kas nav serveri vai pat darbojas IIS

HTTP.sys, šīs problēmas neaizsargātais Windows komponents, ir kodola režīma ierīces draiveris, ko izmanto HTTP pieprasījumu apstrādei lielā ātrumā. IIS 6.0 un jaunākas versijas to izmanto, tas nozīmē, ka tas ir bijis Windows stiprinājums kopš 2003. gada. (Ne visas programmas, kas sistēmā Windows darbojas kā tīmekļa serveri, ir izmantojušas HTTP.sys, kā dokumentēts šajā 2011. gada ziņojumā.)

Patiesā problēma ir tā, ka HTTP.sys nav tikai Windows servera versijās - tas ir arī Windows 7 un Windows 8 (un 8.1). Tas nozīmē, ka visas darbvirsmas sistēmas, kas netiek cieši ielāpītas, arī ir pakļautas šai problēmai.

2. To ir viegli izmantot

Microsoft ir apzināti neskaidrs par to, kas būtu vajadzīgs šīs ievainojamības izmantošanai, sakot, ka tā iedarbināšanai var izmantot tikai "speciāli izstrādātu HTTP pieprasījumu". Hostijas risinājumu nodrošinātāja Nucleus Mattias Geniar apgalvo, ka ir izsekojis jautājuma "pirmos izmantošanas koda fragmentus".

3. Šī uzbrukuma dažādība ir izmantota citos tīmekļa serveros

Saskaņā ar Geniar teikto, uzbrukumu var izpildīt, vienkārši nosūtot vienu HTTP pieprasījumu ar nepareizi izveidotu diapazona pieprasījuma galveni - tehniku, ko parasti izmanto, lai ļautu resursdatoram izgūt faila daļu no tīmekļa servera.

Vēl 2011. gadā neskaidri līdzīgs uzbrukums tika dokumentēts Apache HTTPD tīmekļa serverim. Šī ievainojamība tika izlabota pietiekami ātri, un risinājumu (piezīme: holandiešu teksts lapā) varēja arī ieviest, rediģējot .htaccess failu attiecīgajai vietnei. Bet šis uzbrukums, domājams, darbojas sistēmās, kas formāli nedarbina tīmekļa serveri, un tas sarežģī situāciju.

4. Jūs varat viegli pārbaudīt, vai esat neaizsargāts

Tagad par labām ziņām: Salīdzinoši viegli noteikt, vai serveris, ar kuru jums ir darīšana, ir salāpīts vai nē. Izstrādātājs "Pavel" ir izveidojis vietni (ar atvērtu pirmkodu), kas ļauj pārbaudīt kļūdu klātbūtni jebkuram publiski vērstam tīmekļa serverim. Ja rīkā ir teikts, ka kaut kas cits, izņemot “[domēns] ir ielāpīts”, labāk izskatīsit attiecīgās sistēmas atjaunināšanu.

Apakšējā līnija: Patch, ja jums nav, un esiet piesardzīgs, kā šī problēma var potenciāli ietekmēt sistēmas, kuras vispirms nebija domātas kā serveri.