HTTP.sys remote code execution vulnerability

IIS 系列 Http.sys处理 Range 整数溢出漏洞导致远程代码执行1.漏洞概要2015 年 04 月 14 日,微软发布严重级别的安全公告 MS15-034,编号为 CVE-2015-1635,据称在 Http.sys 中的漏洞可能允许远程执行代码。2. 漏洞描述CWE: CWE-119 CVE: CVE-2015-1635    Http.sys 是一个位于 Windows 操作系统核...
摘要由CSDN通过智能技术生成

IIS 系列 Http.sys处理 Range 整数溢出漏洞导致远程代码执行

1.漏洞概要

2015 年 04 月 14 日,微软发布严重级别的安全公告 MS15-034,编号为 CVE-2015-1635,据称在 Http.sys 中的漏洞可能允许远程执行代码。

2. 漏洞描述

CWE: CWE-119 

CVE: CVE-2015-1635   

 Http.sys 是一个位于 Windows 操作系统核心组件,能够让任何应用程序通过它提供的接口,以 Http 协议进行信息通讯。微软在 Windows 2003 Server 里引进了新的 HTTP API 和内核模式驱动 Http.sys,目的是使基于 Http 服务的程序更有效率。其实在 Windows XP 安装 SP2 后,Http.sys 已经出现在系统里了,但事实上操作系统并没有真的使用这个内核级驱动,而 XP 上自带的 IIS 5.1 也没有使用 HTTP API。从曝出的 poc 来看,此漏洞是一个整数溢出类型的漏洞,微软安全公告称最大安全影响是远程执行代码。

3.受影响版本

这是对于服务器系统影响不小的安全漏洞,任何安装了微软IIS 6.0以上的的Windows Server 2008 R2/Server 2012/Server 2012 R2以及Windows 7/8/8.1操作系统都受到这个漏洞的影响。


4.漏洞原理

(from seebug)

根据补丁比较发现,POC 中提到的代码出现在 UlpParseRange 函数中修改的部分。

在未打补丁的 Http.sys 文件的 UlpParseRange 函数中,代码如下。

4.171

4.172

可以看到,在计算 64 位整数时直接进行了运算,没有进行必要的整数溢出检查。

而在打补丁的 Http.sys 文件的 UlpParseRange 函数中,修改代码如下。

4.173

4.174

用 RtlULongLongAdd 函数来计算 Range 范围长度 v18,这个函数中是做了整数溢出检查的。

4.175

再看一下对 RtlULongLongAdd 函数的调用情况。

4.176

在未打补丁的 Http.sys 文件中只有 1 处调用了 RtlULongLongAdd 函数。

4.177

而在打补丁的 Http.sys 文件中总共有 13 处调用了 RtlULongLongAdd 函数进行整数溢出检查,说明有漏洞的系统中可能有多个处理流程会涉及到整数溢出造成的安全问题。

通过补丁比较确定了修改过的函数如下。

4.178

经过分析发现,UlAdjustRangesToContentSize 函数中的整数溢出点,才是导致漏洞能发挥作用的关键流程。

4.179

 

这段代码还是采用了直接运算 64 位整数的方式,没有检查是否溢出,在补丁文件中替换为调用 RtlULongLongAdd 函数。

这部分代码的功能是判断获取文件偏移量的范围,是否会超过请求缓存文件的数据长度,如果超出就把读取长度 修改为合适的大小,防止越界访问数据。但是由于发生了整数溢出,使得判断越界的代码失效,这样就不会修改读取长度,造成用可控的长度值越界访问数据。

5.漏洞检测


curl:

curl -i http://xxx.com/ -H "Host: irrelevant" -H "Range: bytes=0-18446744073709551615"

wget:

wget 127.0.0.1 –debug –header=”Range: bytes=0-18446744073709551615″


PHP代码:

<?php


class VulnStatus
{
   
const FAIL        = 0;
const VULN        = 1;
const VULN_NOT_MS = 2;
const PATCHED     = 3;
const NOT_VULN    = 4;
const NOT_VULN_MS = 5;
const NOT_VULN_CF = 6;

public static function AsString( $status, $host )
{
   
switch( $status )
{
   
case self::FAIL       : return 
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值