微軟IIS網頁伺服器出現重大漏洞,資安專家評估,嚴重程度恐超越Shellshock漏洞。駭客只要發送一個簡單的HTTP請求,就能透過此漏洞癱瘓微軟IIS上的網站,甚至取得遠端控制權,恐成為駭客發動DoS攻擊的入侵手段。資安研究機構SANS更偵測到駭客大型搜尋行動,掃描全網際網路,尋找有此漏洞的微軟 IIS網頁伺服器作為後續攻擊或入侵的對象。微軟已於4月14日釋出更新(微軟安全公告的說明),並呼籲MIS儘速修補。SANS也準備要將危險程度提高為黃色警報,而不只是發現問題的綠色警戒。

資安研究單位SANS日前公布一個漏洞編號CVE-2015-1635的漏洞,是一個作業系統核心漏洞,也是美國漏洞資料庫(NVD)評分為10分、風險最高的漏洞之一,與先前的Heartbleed及Shellshock一樣嚴重。趨勢科技全球核心技術部資深協理張裕敏表示,這是微軟IIS網頁伺服器處理HTTP流量封包時的HTTP.sys核心程式出現漏洞,目前已發現會導致DoS(阻斷式服務)攻擊,也可能導致駭客遠端攻擊的風險,微軟已經在4月例行更新中釋出編號MS15-034漏洞修補程式,目前使用微軟IIS 6.0版以上的使用者,都應該儘速修補漏洞以確保網頁伺服器的安全。「HTTP.sys的漏洞風險,將高於Shellshock漏洞風險。」他說。

全球7千萬臺IIS網頁伺服器面臨風險,嚴重性高於Shallshock

根據Netcraft最新的網頁伺服器統計,目前全球有7千萬臺微軟IIS伺服器,數量遠多於Linux伺服器數量。微軟IIS網頁伺服器用來處理HTTP請求的核心模組,也就是處理網頁瀏覽請求的核心模組。這次發生問題的是HTTP.sys標頭參數Range,通常用於網頁續傳檔案時,因為HTTP.sys不會檢查Range參數數值範圍,駭客若餵入超出Range參數範圍的數值,就會導致Windows核心當機,也會增加讓駭客遠端操控電腦的機會。

張裕敏表示,目前,這個HTTP.sys漏洞發現出現在微軟IIS網頁伺服器,受影響的作業系統包括:Windows 7 SP1、Windows 8、Windows 8.1、Windows Server 2008 R2 SP1、Windows Server 2012、以及Windows Server 2012 R2等桌面端及伺服器端作業系統。因為HTTP.sys漏洞會影響作業系統的穩定,而他說,連上網路的IIS網頁伺服器,會使得遠端攻擊更為容易,風險也更高。目前全球資安研究專家發現,編號CVE-2015-1635的漏洞,已經確定可以引發DoS攻擊,不過,張裕敏指出,現階段駭客還沒有撰寫出利用該漏洞的遠端攻擊惡意程式他說。

立即更新微軟修補程式以確保安全

由於這類具有遠端攻擊的資安風險越來越高,多數IT人員在面臨這樣的威脅時,第一時間都應該確保系統更新無虞時,立即進行漏洞修補。
根據SANS的建議,目前企業如果有使用IPS(入侵偵測防禦)設備,可以透過設定簡單的Snort規則,先確保微軟網頁伺服器的安全。或是發送傳下列HTTP請求查證IIS伺服器是否有HTTP.sys漏洞:

GET / HTTP/1.1
Host: MS15034
Range: bytes=0-18446744073709551615

SANS表示,如果伺服器的回應顯示「Requested Header Range Not Satisfiable」,就表示有HTTP.sys漏洞。


Advertisement

更多 iThome相關內容