MS15-034 HTTP.sys (IIS) DoS And Possible Remote Code Execution – AGGIORNAMENTO CRITICO

最新推荐文章于 2022-05-12 15:56:46 发布
最新推荐文章于 2022-05-12 15:56:46 发布
阅读量217 收藏
点赞数
文章标签: 操作系统
原文链接:http://www.cnblogs.com/Le30bjectNs11/p/4434253.html
版权

Introduzione

E’ stata rilevato un nuovo attacco tramite exploit verso il demone IIS (Internet Information Server) dei sistemi operativi Windows.

In realtà la libreria vulnerabile si chiama  HTTP.sys che viene utilizzata maggiormente dal demone ISS, ma non solo, teoricamente tutti i programmi che ne usufruiscono sono a rischio!

A cosa serve la libreria HTTP.sys?

Per farla breve e semplice la sua funzione è quella di elaborare richieste HTTP.

Tipologia di vulerabilità e Exploit

Microsoft ha classificato questa vulnerabilità come Remote Code Execution, ma per adesso pubblicamente sono stati rilasciati exploit ti tipologia DoS:

MS Windows (HTTP.sys) HTTP Request Parsing DoS (MS15-034)
Microsoft Window – HTTP.sys PoC (MS15-034)

Sistemi a rischio

Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows 8.1, e Windows Server 2012 R2 con a bordo almeno IIS 6.

Test di vulnerabilità

Per testare il proprio sistema basta eseguire una semplice chiamate GET verso IIS con un particolare HEADER:

curl -v [ipaddress]/ -H "Host: MS15034" -H "Range: bytes=0-18446744073709551615" 
wget -O /dev/null --header="Range: 0-18446744073709551615" http://[ip address]/

Se il sistema è vulnerabile si riceverà la risposta:

"Requested Header Range Not Satisfiable"

Come proteggersi

1) Aggiornare il sistema con la patch rilasciata da Microsoft il 14 Febbraio: MS15-034

2) Nell’impossibilità di poter aggiornare nell’immediato il sistema operativo, è possibile configurare ad hoc i propri WaF (Web Application  Firewall) o IPS (Intrusion prevention systems)

Personalmente sto testando delle regole sul WaF modsecurity, spero di pubblicarle presto…rimanete in contatto ;)

Link di riferimento

sans.edu

转载于:https://www.cnblogs.com/Le30bjectNs11/p/4434253.html

Jiajia2017
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MS15-034 HTTP.sys远程执行代码漏洞(原理扫描)
11-16
https://docs.microsoft.com/zh-cn/security-updates/securitybulletins/2015/ms15-034 如果在一台Windows Server 2012 R2的服务器上直接安装补丁文件KB3042553,可能会出现“此更新不适用于您的计算机”的问题,这...
HTTP.sys remote code execution vulnerability
luopanhong的博客
06-02 9154
IIS 系列 Http.sys处理 Range 整数溢出漏洞导致远程代码执行1.漏洞概要2015 年 04 月 14 日,微软发布严重级别的安全公告 MS15-034,编号为 CVE-2015-1635,据称在 Http.sys 中的漏洞可能允许远程执行代码。2. 漏洞描述CWE: CWE-119 CVE: CVE-2015-1635    Http.sys 是一个位于 Windows 操作系统核...
记录一个等保二的项目的漏洞处理
05-12 1万+
一、高危漏洞: 1、HTTP.sys remote code execution vulnerability(HTTP.sys 远程代码执行漏洞) 漏洞描述: HTTP 协议栈 (HTTP.sys) 中存在一个远程执行代码漏洞,该漏洞是由于 HTTP.sys 不正确地分析特制 HTTP 请求而导致的。 成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。 对于 Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Wind
HTTP.sys远程执行代码漏洞
weixin_30908649的博客
06-25 91
远程执行代码漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中,当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此漏洞。成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。 官方文档:https://technet.microsoft.com/zh-cn/library/security/MS15-034 POC(python2): 1 #!...
HTTP.sys远程代码执行漏洞复现
weixin_45200712的博客
08-27 3753
一.漏洞描述 Http.sys是Microsoft Windows处理HTTP请求的内核驱动程序。HTTP.sys会错误解析某些特殊构造的HTTP请求,导致远程代码执行漏洞。成功利用此漏洞后,攻击者可在System帐户上下文中执行任意代码。由于此漏洞存在于内核驱动程序中,攻击者也可以远程导致操作系统蓝屏。此次受影响的系统中,Windows 7、Windows 8、Windows Server 2008 R2 和 Windows Server 2012所带的HTTP.sys驱动均存在一个远程代码执行漏洞,远程
HTTP.sys远程执行代码漏洞(CVE-2015-1635,MS15-034
Fly_鹏程万里
05-05 8921
前言 在2015年4月的补丁日,微软通过标记为“高危”的MS15-034补丁,修复了HTTP.SYS中一处远程代码漏洞CVE-2015-1635。据微软公告(https://technet.microsoft.com/en-us/library/security/MS15-034)所称,当存在该漏洞的HTTP服务器接收到精心构造的HTTP请求时,可能触发远程代码在目标系统以系统权限执行。 影响...
MS15-034 HTTP.sys 远程执行代码(CVE-2015-1635)POC
03-19
远程执行代码漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中,当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此漏洞。 成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。
CVE-2015-1635、MS15-034Http.sys的利用工具)
11-10
利用 Http.sys 驱动对urlacl进行操作,由于Http.sysIIS服务器的基础,其优先级高于IIS,不会造成端口bind冲突,达到端口服用效果,由于与受害机对外服务端口相同,可做到极高的隐蔽性。由于其生效后效果很类似于...
MS15-034HTTP.sys 远程执行代码
05-04
在微软4月14日补丁日发布的补丁中,有一个针对IIS服务器的远程代码执行漏洞危害非常大, 漏洞信息 远程执行代码漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中,当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此...
http.sys远程代码注入漏洞
AnywayC9的专栏
07-05 1万+
http.sys是一个位于Win2003和WinXP SP2中的操作系统核心组件,能够让任何应用程序通过它提供的接口,以http协议进行信息通讯。 主要存在于在Windows+IIS环境下,影响了包括Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows 8.1 和 Windows Server 2012
HTTP.sys远程执行代码漏洞验证及复现——CVE-2015-1635、MS15-034
热门推荐
7Riven's blog
12-07 2万+
目录 漏洞概述 漏洞环境部署 漏洞验证 漏洞利用:ms15_034 漏洞防御 漏洞概述 HTTP.sys简介 HTTP.sys是Microsoft Windows处理HTTP请求的内核驱动程序,为了优化IIS服务器性能,从IIS6.0引入,IIS服务进程依赖HTTP.sysHTTP.sys远程代码执行漏洞实质是HTTP.sys的整数溢出漏洞 漏洞成因 远程执行代码漏洞存在于 ...
HTTP.sys 远程执行代码漏洞(CVE-2015-1635)(MS15-034)简单测试
rigous的博客
03-08 1万+
        无意中用扫描器扫到了HTTP.sys 漏洞,因为之前写过python单poc脚本,感觉exp应该也是存在的。本着常识的心态找一下利用代码,如果能提权是再好不过的。    根据网上的记录,此漏洞利用最多的是导致蓝屏。RCE还无法找到,可能被大牛私藏了。由于会导致BSOD,所以只能在本地进行测试了。步骤如下:    1、环境搭建,由于本人的server只有2003,只能安装iis6.0...
HTTP.SYS远程执行代码漏洞分析 (MS15-034
cncold1的博客
08-10 4483
大家肯定用过bugscan老板裤子里面经常出现这个漏洞提示。【xxx存在http.sys远程漏洞】今天我们来分析分析这漏洞如何存在的,据称,利用HTTP.sys的安全漏洞,攻击者只需要发送恶意的http请求数据包,就可能远程读取IIS服务器的内存数据,或使服务器系统蓝屏崩溃。根据公告显示,该漏洞对服务器系统造成了不小的影响,主要影响了包括Windows 7、Windows Server 2008 ...
joomla 1.5-3.4 Remote Code Execution (exp)
乐枕的家
12-17 1565
poc#!/usr/bin/python # coding=utf-8 import urllib2 import cookielib import sys """ python joomla.py http://example.com/ """cj = cookielib.CookieJar() opener = urllib2.build_opener(urllib2.HTTPCookiePro
HTTP.SYS 远程执行代码漏洞分析(MS15-034
weixin_33948416的博客
09-08 804
  在2015年4月安全补丁日,微软发布了11项安全更新,共修复了包括Microsoft Windows、Internet Explorer、Office、.NET Framework、Server软件、Office Services和Web Apps中存在的26个安全漏洞。其中就修复了HTTP.sys 中一处允许远程执行代码漏洞,编号为:CVE-2015-1635(MS15-034 )。    ...
Windows Server 2012 R2修复MS15-034漏洞
weixin_34391445的博客
10-10 1万+
环境:windowsServer2012R2要求:要求尽量少的打补丁,最好只打这一个方案:1.MS15-034漏洞的补丁是KB3042553; 2.如果在一台WindowsServer2012R2的服务器上直接安装补丁文件KB3042553,可能会出现“此更新 不适用于您的计算机”的问题,这是因为此补丁依赖于补丁:KB3021910、KB2919355。只需要按顺...
中职网络安全2022国赛之MS15034漏洞扫描与利用(CVE-2015-1635)
Ba1_Ma0的博客
04-24 3677
简介 我做了一个简单的环境来复现这个漏洞,有什么不会的也可以问我 1.在MSF工具中用search命令搜索MS15034HTTP.SYS漏洞拒绝服务攻击模块,将回显结果中的漏洞披露时间作为Flag值(如:2015-10-16)提交 搜索漏洞模块: search ms15_034 但是没有时间,在cve官网查到了此漏洞的披露时间 2015-02-17 2.在MSF工具中调用MS15034HTTP.SYS漏洞的辅助扫描模块,将调用此模块的命令作为Fl
Http.sys远程代码执行
ggdw的专栏
06-05 682
测试语句: curl -v http://xxx/ -H "Range: bytes=0-18446744073709551615" 其中xxx为域名
常见网站安全漏洞处理
liudao1991的专栏
08-10 1万+
1. Sql盲注 解决方法:添加过滤 2. Sql注入 解决方法:修改底层代码消除参数化查询 3. iis文件与目录枚举/Directory listing 解决方法:禁止目录浏览 4. webdav目录遍历 解决方法:http://www.45it.com/net/201208/31779.htm 5. _VIEWSTATE未加密 解决...
Microsoft Windows HTTP.sys远程代码执行漏洞(MS15-034)(CVE-2015-1635)【原理扫描】
最新发布
05-24
Microsoft Windows HTTP.sys远程代码执行漏洞(MS15-034)(CVE-2015-1635)是一种存在于HTTP协议栈中的安全漏洞,可以导致远程攻击者在未经身份验证的情况下以SYSTEM权限执行任意代码。攻击者可以通过发送特制的HTTP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值