Четири факти за уязвимостта на HTTP.sys на Microsoft

По-рано тази седмица, между всичките си други сривове на корекции, Microsoft публикува подробности за уязвимост (MS15-034), която засяга Windows HTTP стека.

Звучи като проблем, който засяга само Windows сървъри, нали? Грешно - той поразява цяла гама продукти на Windows, включително версиите на Windows за настолни компютри.

Ето четири от най-важните бележки за тази уязвимост, за които Microsoft вече е подготвила корекция.

1. Проблемът засяга системи, които не са сървъри или дори работят с IIS

HTTP.sys, уязвимият компонент на Windows в този брой, е драйвер на устройство в режим на ядро, използван за обработка на HTTP заявки с висока скорост. IIS 6.0 и по-нови го използват, което означава, че е част от Windows от 2003 г. (Не всички програми, които работят като уеб сървъри в Windows, са използвали HTTP.sys, както е документирана тази публикация от 2011 г.)

Истинският проблем е, че HTTP.sys не присъства само в сървърните версии на Windows - той също присъства в Windows 7 и Windows 8 (и 8.1). Това означава, че всички настолни системи, които не са старателно закърпени, също са уязвими за този проблем.

2. Лесно е да се експлоатира

Microsoft е умишлено неясен относно това какво би било необходимо, за да се използва тази уязвимост, казвайки, че за да я задейства може да се използва само „специално създадена HTTP заявка“. Матиас Гениар от доставчика на хостинг решения Nucleus твърди, че е проследил „първите фрагменти на експлойт код“ за изданието.

3. Това разнообразие от атаки е използвано на други уеб сървъри

Според Geniar атаката може да бъде изпълнена чрез просто изпращане на единична HTTP заявка с неправилно оформен заглавие на заявка за обхват, техника, която обикновено се използва, за да позволи на хоста да извлече част от файл от уеб сървър.

През 2011 г. неясно подобна атака е документирана за уеб сървъра на Apache HTTPD. Тази уязвимост бе закърпена достатъчно скоро и заобиколно решение (бележка: холандски текст на страница) също може да бъде приложено чрез редактиране на .htaccess файла за даден уебсайт. Но тази атака се твърди, че работи върху системи, които официално не работят с уеб сървър, което усложнява нещата.

4. Можете лесно да проверите дали сте уязвими

Сега за някои добри новини: сравнително лесно е да се разбере дали сървър, с който имате работа, е бил закърпен или не. Разработчикът "Павел" е създал уебсайт (с отворен код), който позволява всеки публичен уеб сървър да бъде тестван за наличие на грешка. Ако инструментът казва нещо различно от „[домейн] е закърпен“, по-добре разгледайте актуализирането на въпросната система.

Долен ред: Кръпнете, ако не сте, и бъдете предпазливи как този проблем може потенциално да засегне системи, които никога не са били предназначени да бъдат сървъри на първо място.