IIS更新通告:MS15-034

依據iThome的報導,資安研究機構SANS最近公告了一個IIS漏洞:微軟於4/14發佈的安全公告MS15-034,提及一個從Windows 7 SP1起存在於HTTP.SYS的安全漏洞,讓攻擊者有機會透過HTTP Request癱瘓系統,甚至有可能從遠端執行程式碼(聽起來又是緩衝區溢位漏洞)。安全公告發佈的同時,微軟也一併釋出了更新KB3042553,意思是:莫等待,莫依賴,快把IIS更新裝起來!(受影響範圍包含Windows 7/Windows 2008R2/Windows 8/Windows 8.1/Windows 2012/Windows 2012R2)

報導提到要測試漏洞可模擬以下GET Request,看是否會得到Request Range Not Satisfiable回應:

GET / HTTP/1.1
Host: MS15034
Range: bytes=0-18446744073709551615

手癢想實證一下,便開啟一台久未更新的Windows 2008 VM,利用上回介紹過的Telent密技模擬GET Request。(註:若網站無預設網頁,使用瀏覽器直接開啟http:// server_to_test 找不到網頁,請在根目錄下放個index.html或default.html,或將"GET /"改為存在的網頁,否則會得到HTTP 404,測不出真實回應)

果真看到HTTP 416 Request Range Not Satisfiable,代表漏洞存在。

接著執行Windows Update,特別挑出KB3042553安裝。

安裝KB3042553後再做一次相同測試,HTTP 416狀態變成HTTP 400 Bad Request,象徵漏洞修復。

好奇一點:那IIS6呢?Windows 2003未列於MS15-034公告,使用前述方法測試也不會回應HTTP 416,研判不在此波曝險範圍。

所以結論是使用Windows 2003的朋友可以繼續安心使用?喂!不要亂教啦。

事實是,Windows 2003將於2015/7/14終止支援,已是破百的待退老鳥,之後由於不再有安全修補及Hotfix,維運風險將大幅升高,大家手邊如果還有老而彌堅的Windows 2003,建議儘早安排升級以策安全。

歡迎推文分享:
Published 20 April 2015 11:55 PM 由 Jeffrey
Filed under: ,
Views: 14,577



意見

# wellxion said on 20 April, 2015 09:55 PM

報告!

小弟測試結果是404....:D

# chung said on 20 April, 2015 11:37 PM

黑大好,我這邊有一台 Windows Server 2003 的 IIS 6 測出了已下訊息...

http://i.imgur.com/Ygh7Iqh.png

# ming said on 21 April, 2015 12:02 AM

我測試的結果也是404

請問這是安全的意思嗎?

因為那台伺服器從來沒有更新過

# Jeffrey said on 21 April, 2015 12:10 AM

to wellxion, ming,若結果為404,請先確認一下直接用瀏覽器 http:// server_to_test/ 是否也是404,若是,先放一個預設網頁(default.html、index.html),或改為GET /已知存在網頁.html,結果才會準確。

to chung, 謝謝你的回饋,莫非這與IIS6相關檔案版本與狀態有關,我會再找幾台機器測看看。

# ming said on 21 April, 2015 03:06 AM

請問[將"GET /"改為存在的網頁]

是指

GET /404ERROR.html HTTP/1.1

Host: MS15034

Range: bytes=0-18446744073709551615

還是

/404ERROR.html HTTP/1.1

Host: MS15034

Range: bytes=0-18446744073709551615

哪一種呢?

# Jeffrey said on 21 April, 2015 04:11 AM

to ming, 先用瀏覽器成功連上網站的任一有效網址以確認該網頁存在,例如,網站主目錄下有一個about.html,且瀏覽器可以成功開啟http:// your_server/about.html,則「GET /」的部分要改成「GET /about.html」。以你的案例就是「GET /404ERROR.html」,其餘部分不變。

# wellxion said on 21 April, 2015 11:22 PM

to jeffrey,

重新測試結果變成400了 :D

不過令人好奇的是那台主機是2008 R2 SP1

但是沒更新過KB3042553才對

看起來應該是某次KB更新導致的問題=A=?

# 艾里克斯 said on 23 April, 2015 01:36 AM

我測出來的是

Bad Request - Invalid Verb

和您的 Invalid Header 不同, 表示我的測試方式有誤嗎 XD ?

# Jeffrey said on 23 April, 2015 09:17 PM

to 艾里克斯,Invalid Verb應是HTTP Request不合Web的要求,使用瀏覽器輸入該網址能正常開啟嗎?若可以,有可能是你送出的Request內容缺少必要Header或格式不符,可以用F12網頁偵錯工具觀察一下瀏覽器送出內容再模仿改寫,找出問題關鍵。

# Sam said on 24 April, 2015 03:48 PM

我在win8.1上裝的iis 也會 Request Range Not Satisfiable

但我改了一下Range

結果它給我iisstart的頁面

這是代表有溢位嗎?

# Sam said on 24 April, 2015 04:04 PM

噢~不是…是我要求的range通過條件,它回傳根目錄下的default page-iisstart.htm的內容。這range數字剛好是hex的-1999999999999999,我丟-9999999999999999就是正常的。所以一定要-1999999999999999才有作用嗎?

你的看法呢?

(必要的) 
(必要的) 
(選擇性的)
(必要的) 
(提醒: 因快取機制,您的留言幾分鐘後才會顯示在網站,請耐心稍候)

5 + 3 =

搜尋

Go

<April 2015>
SunMonTueWedThuFriSat
2930311234
567891011
12131415161718
19202122232425
262728293012
3456789
 
RSS
創用 CC 授權條款
【廣告】
twMVC

Tags 分類檢視
關於作者

一個醉心技術又酷愛分享的Coding魔人,十年的IT職場生涯,寫過系統、管過專案, 也帶過團隊,最後還是無怨無悔地選擇了技術鑽研這條路,近年來則以做一個"有為的中年人"自許。

文章典藏
其他功能

這個部落格


Syndication