IIS 系列 Http.sys处理 Range 整数溢出漏洞导致远程代码执行1.漏洞概要2015 年 04 月 14 日,微软发布严重级别的安全公告 MS15-034,编号为 CVE-2015-1635,据称在 Http.sys 中的漏洞可能允许远程执行代码。2. 漏洞描述CWE: CWE-119 CVE: CVE-2015-1635 Http.sys 是一个位于 Windows 操作系统核...
IIS 系列 Http.sys处理 Range 整数溢出漏洞导致远程代码执行
1.漏洞概要
2015 年 04 月 14 日,微软发布严重级别的安全公告 MS15-034,编号为 CVE-2015-1635,据称在 Http.sys 中的漏洞可能允许远程执行代码。
2. 漏洞描述
CWE: CWE-119CVE: CVE-2015-1635
Http.sys 是一个位于 Windows 操作系统核心组件,能够让任何应用程序通过它提供的接口,以 Http 协议进行信息通讯。微软在 Windows 2003 Server 里引进了新的 HTTP API 和内核模式驱动 Http.sys,目的是使基于 Http 服务的程序更有效率。其实在 Windows XP 安装 SP2 后,Http.sys 已经出现在系统里了,但事实上操作系统并没有真的使用这个内核级驱动,而 XP 上自带的 IIS 5.1 也没有使用 HTTP API。从曝出的 poc 来看,此漏洞是一个整数溢出类型的漏洞,微软安全公告称最大安全影响是远程执行代码。
3.受影响版本
这是对于服务器系统影响不小的安全漏洞,任何安装了微软IIS 6.0以上的的Windows Server 2008 R2/Server 2012/Server 2012 R2以及Windows 7/8/8.1操作系统都受到这个漏洞的影响。
4.漏洞原理
(from seebug)
根据补丁比较发现,POC 中提到的代码出现在 UlpParseRange 函数中修改的部分。
在未打补丁的 Http.sys 文件的 UlpParseRange 函数中,代码如下。
可以看到,在计算 64 位整数时直接进行了运算,没有进行必要的整数溢出检查。
而在打补丁的 Http.sys 文件的 UlpParseRange 函数中,修改代码如下。
用 RtlULongLongAdd 函数来计算 Range 范围长度 v18,这个函数中是做了整数溢出检查的。
再看一下对 RtlULongLongAdd 函数的调用情况。
在未打补丁的 Http.sys 文件中只有 1 处调用了 RtlULongLongAdd 函数。
而在打补丁的 Http.sys 文件中总共有 13 处调用了 RtlULongLongAdd 函数进行整数溢出检查,说明有漏洞的系统中可能有多个处理流程会涉及到整数溢出造成的安全问题。
通过补丁比较确定了修改过的函数如下。
经过分析发现,UlAdjustRangesToContentSize 函数中的整数溢出点,才是导致漏洞能发挥作用的关键流程。
这段代码还是采用了直接运算 64 位整数的方式,没有检查是否溢出,在补丁文件中替换为调用 RtlULongLongAdd 函数。
这部分代码的功能是判断获取文件偏移量的范围,是否会超过请求缓存文件的数据长度,如果超出就把读取长度 修改为合适的大小,防止越界访问数据。但是由于发生了整数溢出,使得判断越界的代码失效,这样就不会修改读取长度,造成用可控的长度值越界访问数据。
5.漏洞检测
curl:
curl -i http://xxx.com/ -H "Host: irrelevant" -H "Range: bytes=0-18446744073709551615"
wget:
wget 127.0.0.1 –debug –header=”Range: bytes=0-18446744073709551615″
PHP代码:
<?php
class VulnStatus
{
const FAIL = 0;
const VULN = 1;
const VULN_NOT_MS = 2;
const PATCHED = 3;
const NOT_VULN = 4;
const NOT_VULN_MS = 5;
const NOT_VULN_CF = 6;
public static function AsString( $status, $host )
{
switch( $status )
{
case self::FAIL : return 
最低0.47元/天 解锁文章
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
