ms15-034漏洞影响linux,IIS最新高危漏洞(CVE-2015-1635,MS15-034)公告

最新推荐文章于 2022-12-21 11:06:11 发布
最新推荐文章于 2022-12-21 11:06:11 发布
阅读量801 收藏 1
点赞数
文章标签: ms15-034漏洞影响linux

一、漏洞情况

微软在2014年4月的补丁日进行了多个漏洞修补,涉及到Windows、OFFICE、IE、IIS等多个环节,本次补丁数量显著高于平均水平。安天安全研究与应急处理中心通过补丁相关信息研判,认为其中有多个OFFICE和IE漏洞可能与近期各种攻击相关,而其中编号为MS15-034的IIS远程执行漏洞极为值得高度关注。

IIS是微软提供的WEB服务程序,全称是Internet Information Services,其可以提供HTTP、HTTPS、FTP等相关服务,同时支持ASP、JSP等WEB端脚本,有比较广泛的应用。

从MS15-034的等级和相关说明来看,攻击者可以获得远程具有IIS服务的主机执行代码和提权能力,其针对了驱动HTTP.SYS实现特殊构造的HTTP请求,就可以在System账户账户上下文中执行任意代码。据悉,该漏洞利用代码已在国外技术网站Pastebin上公开,攻击者只要发送恶意数据包直打安装IIS的服务器,就可导致系统蓝屏崩溃。

这一漏洞影响的版本包括:

Microsoft Windows Server 2012 R2

Microsoft Windows Server 2012 R2(服务器核心安装)

Microsoft Windows Server 2012

Microsoft Windows Server 2012(服务器核心安装)

Microsoft Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1

Microsoft Windows Server 2008 R2(用于基于 Itanium 的系统)Service Pack 1

Microsoft Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1(服务器核心安装)

Microsoft Windows Server 2008 SP2

Microsoft Windows 8.1

Microsoft Windows 8

Microsoft Windows 7

二、解决办法

漏洞在线检测:

00087940f0faaee11fa4d231060c2cba.png

下载微软官方补丁并安装:

临时解决办法:

如果您不能立刻安装补丁或者升级,建议您采取以下措施以降低威胁:

*禁用IIS内核缓存

三、风险影响分析:

安天CERT提醒广大用户:由于WEB 服务本身的开放特点,极易被大规模轻载的扫描探测到。而对于熟练的攻击者来说,现有WEB系统的IP分布、包括其对应的WEB SERVER类型和版本,甚至是一种既有资源。因此各种攻击团伙有可能会快速找到大量目标,因此当前有大量服务器处于危险当中。

目前已经出现可以使服务器蓝屏的利用代码,但截止到2015年4月25日24:00时,安天捕风蜜网和其他感知通道尚未捕获到有效的提权攻击行为,但已经发现针对80端口的扫描次数有所增加,但这并不表示不存在这种攻击,或未来不会出现大面积的攻击。同时由于时间关系,我们目前尚未有效测试DEP和ASLR等机制是否能形成有效的防护,尽管类似DEP机制对于IIS应进行了默认的防护。

IIS的安全脆弱性曾长时间被业内诟病,早期出现了ASP源码泄露等相关多个漏洞,并关联导致了对后台数据库的相关风险。而在早期各个漏洞,其中造成了重大影响的是2001年,曾被红色代码(Codered)系列利用的高端溢出漏洞。其具有内存传播,大量线程扫描,设置CMD后门等特点,基本将当时各个安全防护的模式击穿。而其遗留的CMD后门更引发了连锁此生灾害。

在微软全面强化内存安全防护后,IIS的严重漏洞得到了有效控制,也一度出现IIS的0DAY售价数百万的各种传言。这也证明了一旦IIS出现远程执行漏洞威胁将会非常严重。MS15-034,一方面有可能出现大量的渗透攻击,同时也不排除出现类似当年红色代码手法的的蠕虫扩散威胁,而同期网站篡改、黑链等攻击也可能上升。

安天特别提醒网络管理员,在打完微软提供的补丁后,必须重启修复才会生效,否则依然会面临威胁。由于安天本身不从事热补丁的研发工作,目前我们已经了解到多个兄弟厂商在制作临时热补丁,对于不能宕机的用户请查询关注。此外,一些WINDOWS Server系统并非作为WEB使用,但其默认安装IIS,这对网络管理者来说,亦可能是一个防护盲点,请在所管理的网内进行扫描检测相关服务端口。

安天CERT会进一步跟踪和关注相关事件进展,并向公众通报。

附件:参考资料和补丁编号

微软官方信息:https://technet.microsoft.com/zh-CN/library/security/ms15-034.aspx

官方补丁下载:https://support.microsoft.com/zh-cn/kb/3042553

Freebuf,IIS最新高危漏洞(CVE-2015-1635,MS15-034)POC及在线检测源码:http://www.freebuf.com/articles/system/64185.html

weixin_39774644
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
复现awvs——HTTP.SYS远程代码执行漏洞(MS15-034)
记录并分享学习安全的知识点..
12-31 3727
一、MS15-034漏洞介绍 HTTP 协议堆栈 (HTTP.sys) 中存在一个远程代码执行漏洞,当 HTTP.sys 错误地解析特制 HTTP 请求时,会导致该漏洞。成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。 造成危害如下: (1)远程读取IIS服务器的数据。 (2)造成服务器系统蓝屏崩溃(最可怕)。 二、影响范围 对于 Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows 8.1 和
ms15-034漏洞监测脚本
05-09
可以通过使服务器蓝屏崩溃监测服务器是否存在漏洞,以便修改加固。
MS IIS tools kit
01-25
可以帮助你以更多的方式管理IIS服务,调整设置,分析日志,部署验证过程,调整权限,查找并解决问题。推荐在Windows Server 2003上使用IIS 6服务器的所有管理员下载使用这个工具。虽然它也可以在Windows XP下安装,但内置的检测机制将会阻止你调整。<br>
CVE-2015-1635/MS15-034远程代码执行漏洞
dgjkkhcf的博客
09-20 3993
在4月的补丁日,微软通过标记为“高危”的MS15-034补丁,修复了HTTP.SYS中一处远程代码漏洞CVE-2015-1635。据微软公告(https://technet.microsoft.com/en-us/library/security/MS15-034)所称,当存在该漏洞的HTTP服务器接收到精心构造的HTTP请求时,可能触发远程代码在目标系统以系统权限执行。
IIS 绿盟检测到HOST头攻击漏洞的解决: web应用使用SERVER_NAME而非host header。
rain的博客
07-07 3651
IIS Web服务器防止Host头攻击漏洞
iis 解决http host头攻击漏洞
qq_31949853的博客
04-22 1万+
为了方便的获得网站域名,开发人员一般依赖于HTTP Host header。例如,在php里用_SERVER["HTTP_HOST"]。但是这个header是不可信赖的,如果应用程序没有对host header值进行处理,就有可能造成恶意代码的传入。 web应用程序应该使用SERVER_NAME而不是host header。 在Apache和Nginx里可以通过设置一个虚拟机来记录所有的非...
ms15-034漏洞影响linux,MS15-034:HTTP.sys 中的漏洞可能允许远程执行代码:2015 年 4 月 14 日...
weixin_33263633的博客
05-18 417
概要此安全更新可修复 Microsoft Windows 中的漏洞。如果攻击者向受影响的 Windows 系统发送经特殊设计的的 HTTP 请求,此漏洞可能允许远程执行代码。 通过修改 Windows HTTP 堆栈处理请求的方式,此安全更新可以修复此漏洞。更多信息重要说明今后发布的所有 Windows RT 8.1、Windows 8.1 和 Windows Server 2012 R2 安全更...
CVE-2015-1635MS15-034(Http.sys的利用工具)
11-10
利用 Http.sys 驱动对urlacl进行操作,由于Http.sys是IIS服务器的基础,其优先级高于IIS,不会造成端口bind冲突,达到端口服用效果,由于与受害机对外服务端口相同,可做到极高的隐蔽性。由于其生效后效果很类似于...
MS15-034-Scanner:支持通过http和https扫描MS15-034漏洞的应用程序
05-16
MS15-034-扫描仪 MS15-034-Scanner是Windows命令行实用程序,它扫描[MS15-034]( )漏洞的一个或多个URL。以非破坏性的方式该实用程序使用原始套接字来执行扫描,从而绕过大多数本机.NET Web浏览器或客户端(阻止...
MS15-034 HTTP.sys远程执行代码漏洞(原理扫描)
11-16
Microsoft Internet Information Services(IIS)是一套运行于Microsoft Windows中的互联网基本服务。 使用Microsoft IIS 6.0以上版本的Microsoft Windows的HTTP协议堆栈(HTTP.sys)中存在远程执行代码漏洞,该漏洞...
ms15-034-checker:用于检查 ms15-034 的 Ruby 脚本
06-11
#MS15-034-检查器一个简单的 Ruby 脚本,用于检查您的 IIS 服务器是否易受 MS15-034 攻击。 这是为任何其他 Ruby 脚本编写者编写的,用于查看、学习和扩展,因为似乎唯一的东西是在 Python 或 Metasploit 模块中。 #...
ms15-034漏洞影响linux,MS15-034:Microsoft Windows HTTP.sys 远程执行代码漏洞 【POC】
weixin_39654352的博客
05-18 172
#!/usr/bin/pythonimport requestsimport sysurl = "http://"+sys.argv[1]r = requests.get(url)remote_server = r.headers['Server']if remote_server.find("IIS/7.5") or remote_server.find("IIS/8.0"):payload =...
MS15-034远程执行代码漏洞CVE-2015-1635IIS中的HTTP.sys 中的漏洞
ranuy阮的博客
04-15 5686
1、漏洞说明 远程执行代码漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中,当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此漏洞。 成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。 若要利用此漏洞,攻击者必须将经特殊设计的 HTTP 请求发送到受影响的系统。 通过修改 Windows HTTP 堆栈处理请求的方式,ms15-034此更新可以修复此漏洞。更多...
http.sys整数溢漏洞MS15-034)验证方法
Blue_Starry的博客
01-23 3753
漏洞成因: 18446744073709551615转为十六进制即是 0xFFFFFFFFFFFFFFFF(16个F),是64位无符号整形所能表达的最大整数,这个“整数溢”必然同这个异常的超大整数有关,若IIS服务器返回“416 Requested Range Not Satisfiable”,则是存在漏洞,若返回”The request has an invalid header name“,或其他状态码则说明漏洞已经修补。 漏洞危害: 利用该漏洞构造恶意的http请求数据包,可使服务器系统蓝屏崩
网络空间安全——MS15_034漏洞验证与安全加固
Jay
12-21 1632
1.安装iis7.5,用127.0.0.1访问,将访问页面截图。4.将测试结果进行截图,判断是否存在ms15_034漏洞。3.调用msf相应的测试模块进行扫描,将测试模块截图。靶机:windows 2008 安装好iis7.5。5.使用拒绝服务模块,来进行测试,将模块名称截图。分析是否存在ms15_034漏洞,抓包验证截图。8.再次利用拒绝服务攻击,验证是否还存在漏洞。6.用拒绝服务模块进行攻击的结果进行截图。7.对靶机进行修补,将修补过程进行截图。2.用burpsuite。
HTTP.sys 远程执行代码漏洞(CVE-2015-1635)(MS15-034)简单测试
rigous的博客
03-08 1万+
        无意中用扫描器扫到了HTTP.sys 漏洞,因为之前写过python单poc脚本,感觉exp应该也是存在的。本着常识的心态找一下利用代码,如果能提权是再好不过的。    根据网上的记录,此漏洞利用最多的是导致蓝屏。RCE还无法找到,可能被大牛私藏了。由于会导致BSOD,所以只能在本地进行测试了。步骤如下:    1、环境搭建,由于本人的server只有2003,只能安装iis6.0...
ms15-034漏洞影响linux,HTTP.SYS远程执行代码漏洞分析 (MS15-034
weixin_36462387的博客
05-18 681
来源:http://bbs.ichunqiu.com/thread-9823-1-1.html?from=ch社区:i春秋时间:2016年8月10日作者:MAX丶大家肯定用过bugscan老板裤子里面经常现这个漏洞提示。【xxx存在http.sys远程漏洞】今天我们来分析分析这漏洞如何存在的,据称,利用HTTP.sys的安全漏洞,攻击者只需要发送恶意的http请求数据包,就可能远程读取IIS服务...
ms15-034漏洞影响linux,Microsoft 安全公告 MS15-034 - 严重
weixin_30262217的博客
05-18 452
10/11/2017本文内容MSRC ppDocument 模板Microsoft 安全公告 MS15-034 - 严重HTTP.sys 中的漏洞可能允许远程执行代码 (3042553)发布日期: 2015 年 4 月 14 日 | 更新日期: 2015 年 4 月 22 日版本: 1.1执行摘要此安全更新可修复 Microsoft Windows 中的漏洞。 如果攻击者向受影响的 Windows...
MS15-034漏洞总结
热门推荐
hackerie的博客
09-04 1万+
2015年4月安全补丁日,微软发布的众多安全更新中,修复了HTTP.sys中一处允许远程执行代码漏洞,编号为:CVE-2015-1635MS15-034 )。利用HTTP.sys的安全漏洞,攻击者只需要发送恶意的http请求数据包,就可能远程读取IIS服务器的内存数据,或使服务器系统蓝屏崩溃。根据公告显示,该漏洞服务器系统造成了不小的影响,主要影响了包括Windows 7、Windows ...
ms15-034修复打补丁
最新发布
08-31
针对 ms15-034 的修复,您可以通过以下步骤来打补丁: 1. 首先,确保您的系统已经安装了最新的安全补丁。您可以在微软官方网站上查找并下载相应的补丁程序。 2. 下载适用于您的操作系统和架构的修复补丁。微软通常...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值