Programování

4 fakta o zranitelnosti protokolu HTTP.sys společnosti Microsoft

Začátkem tohoto týdne společnost Microsoft mezi všemi ostatními taveními oprav zveřejnila podrobnosti o chybě zabezpečení (MS15-034), která ovlivňuje zásobník HTTP HTTP.

Zní to jako problém, který se týká pouze serverů Windows, že? Špatně - zasáhne celou řadu produktů Windows, včetně plocha počítače verze systému Windows.

Zde jsou čtyři nejdůležitější poznámky o této chybě zabezpečení, pro které společnost Microsoft již připravila opravu.

1. Problém se týká systémů, které nejsou servery nebo dokonce běží IIS

HTTP.sys, zranitelná součást systému Windows v tomto vydání, je ovladač zařízení v režimu jádra používaný ke zpracování požadavků HTTP vysokou rychlostí. Využívá jej IIS 6.0 a vyšší, což znamená, že je součástí systému Windows od roku 2003. (Ne všechny programy, které fungují jako webové servery v systému Windows, používají protokol HTTP.sys, jak dokumentuje tento příspěvek z roku 2011.)

Skutečným problémem je, že protokol HTTP.sys není přítomen pouze ve verzích serveru Windows - je také v systémech Windows 7 a Windows 8 (a 8.1). To znamená, že jakékoli stolní systémy, které nejsou pečlivě opraveny, jsou také zranitelné tímto problémem.

2. Je snadné ho zneužít

Microsoft byl záměrně vágní ohledně toho, co by bylo potřeba k zneužití této chyby zabezpečení, a uvedl, že k jeho spuštění lze použít pouze „speciálně vytvořený požadavek HTTP“. Mattias Geniar z poskytovatele hostingových řešení Nucleus tvrdí, že vystopoval „první úryvky kódu zneužití“ tohoto problému.

3. Tato paleta útoků byla použita na jiných webových serverech

Podle Geniara může být útok proveden pouhým odesláním jediného požadavku HTTP s poškozenou hlavičkou požadavku na rozsah, což je technika, která se běžně používá k tomu, aby hostitel mohl načíst část souboru z webového serveru.

V roce 2011 byl zdokumentován neurčitě podobný útok na webový server Apache HTTPD. Tato chyba zabezpečení byla opravena dostatečně brzy a řešení (poznámka: holandský text na stránce) lze implementovat také úpravou souboru .htaccess pro daný web. Tento útok ale údajně funguje na systémech, které formálně nespouštějí webový server, což komplikuje záležitosti.

4. Můžete snadno zkontrolovat, zda jste zranitelní

Nyní několik dobrých zpráv: Je poměrně snadné zjistit, zda byl server, se kterým pracujete, opraven nebo ne. Vývojář „Pavel“ vytvořil web (s otevřeným zdrojovým kódem), který umožňuje testování jakéhokoli veřejného webového serveru na přítomnost chyby. Pokud nástroj říká, že je opraveno cokoli jiného než „[doména]“, měli byste se lépe podívat na aktualizaci daného systému.

Sečteno a podtrženo: Oprava, pokud nemáte, a dávejte si pozor na to, jak může tento problém potenciálně ovlivnit systémy, které nikdy neměly být serverem.

$config[zx-auto] not found$config[zx-overlay] not found