Уязвимость CVE-2015-1635 (MS15-034) эксплуатируется in-the-wild
сегодня в 11:46
На этой неделе мы писали про критическое обновление MS15–034 для драйвера http.sys на Windows 7+ (включая Windows 10 TP). Злоумышленник с использованием специально сформированного заголовка запроса HTTP-протокола может удаленно исполнить код, организовать DoS-атаку или уронить систему в BSOD как на клиентских так и на серверных выпусках Windows. Сам драйвер http.sys загружается Windows на самых ранних этапах и отвечает за реализацию логики работы HTTP-протокола (реализует прикладной уровень модели OSI в Windows).
Напрямую эта уязвимость относится к серверным выпускам Windows, поскольку службы IIS, которые отвечают за механизмы реализации веб-сервера, используют этот драйвер для открытия и обслуживания HTTP-портов входящих подключений, которые и могут быть использованы для компрометации системы. Однако, на некоторых современных клиентских выпусках Windows (в зависимости от конфигурации системы и ее сервисов), работающие сервисы также могут открывать HTTP-порты для прослушивания входящих подключений.
Сама эксплуатация возможна через задание специального значения поля Range заголовка HTTP (значение регламентировано RFC 2616, 14.35.1). Ниже приведен пример такого запроса.
GET / HTTP/1.1Host: MS15034Range: bytes=0–18446744073709551615
Этот запрос также может быть использован для проверки системы на уязвимость.Рис. Предложение на подпольном форуме о продаже эксплойта для MS15–034.
Update: We are seeing active exploits hitting our honeypots from 78.186.123.180. We will be going to Infocon Yellow as these scans use the DoS version, not the «detection» version of the exploit. The scans appear to be «Internet wide».
isc.sans.eduОдна из обнаруженных версий эксплойта ITW имела вид:
GET /%7Bwelcome.png HTTP/1.1User-Agent: Wget/1.13.4 (linux-gnu)Accept: */*Host: [server-ip]Connection: Keep-AliveRange: bytes=18–18446744073709551615
Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.