發(fā)布:2015年4月16日 0:37
最新更新:2015年4月16日 8:10
一、 漏洞情況
微軟在2015年4月的補丁日進行了多個漏洞修補,涉及到Windows、OFFICE、IE、IIS等多個環(huán)節(jié),本次補丁數(shù)量顯著高于平均水平。安天安全研究與應(yīng)急處理中心通過補丁相關(guān)信息研判,認為其中有多個OFFICE和IE漏洞可能與近期各種攻擊相關(guān),而其中編號為MS15-034的IIS遠程執(zhí)行漏洞極為值得高度關(guān)注。
IIS是微軟提供的WEB服務(wù)程序,全稱是Internet Information Services,其可以提供HTTP、HTTPS、FTP等相關(guān)服務(wù),同時支持ASP、JSP等WEB端腳本,有比較廣泛的應(yīng)用。
從MS15-034的等級和相關(guān)說明來看,攻擊者可以獲得遠程具有IIS服務(wù)的主機執(zhí)行代碼和提權(quán)能力,其針對了驅(qū)動HTTP.SYS實現(xiàn)特殊構(gòu)造的HTTP請求,就可以在System賬戶賬戶上下文中執(zhí)行任意代碼。這一漏洞影響的版本包括:
· Windows 7(多數(shù)版本默認不安裝IIS)
· Windows Server 2008 R2
· Windows 8
· Windows 8.1
· Windows Server 2012
· Windows Server 2012 R2
二、 風(fēng)險影響分析:
安天CERT提醒廣大用戶:由于WEB 服務(wù)本身的開放特點,極易被大規(guī)模輕載的掃描探測到。而對于熟練的攻擊者來說,現(xiàn)有WEB系統(tǒng)的IP分布、包括其對應(yīng)的WEB SERVER類型和版本,甚至是一種既有資源。因此各種攻擊團伙有可能會快速找到大量目標,因此當(dāng)前有大量服務(wù)器處于危險當(dāng)中。
目前已經(jīng)出現(xiàn)可以使服務(wù)器藍屏的利用代碼,但截止到2015年4月15日24:00時,安天捕風(fēng)蜜網(wǎng)和其他感知通道尚未捕獲到有效的提權(quán)攻擊行為,但已經(jīng)發(fā)現(xiàn)針對80端口的掃描次數(shù)有所增加,但這并不表示不存在這種攻擊,或未來不會出現(xiàn)大面積的攻擊。同時由于時間關(guān)系,我們目前尚未有效測試DEP和ASLR等機制是否能形成有效的防護,盡管類似DEP機制對于IIS應(yīng)進行了默認的防護。
IIS的安全脆弱性曾長時間被業(yè)內(nèi)詬病,早期出現(xiàn)了ASP源碼泄露等相關(guān)多個漏洞,并關(guān)聯(lián)導(dǎo)致了對后臺數(shù)據(jù)庫的相關(guān)風(fēng)險。而在早期各個漏洞,其中造成了重大影響的是2001年,曾被紅色代碼(Codered)系列利用的高端溢出漏洞。其具有內(nèi)存?zhèn)鞑?,大量線程掃描,設(shè)置CMD后門等特點,基本將當(dāng)時各個安全防護的模式擊穿。而其遺留的CMD后門更引發(fā)了連鎖此生災(zāi)害。
在微軟全面強化內(nèi)存安全防護后,IIS的嚴重漏洞得到了有效控制,也一度出現(xiàn)IIS的0DAY售價數(shù)百萬的各種傳言。這也證明了一旦IIS出現(xiàn)遠程執(zhí)行漏洞威脅將會非常嚴重。MS15-034,一方面有可能出現(xiàn)大量的滲透攻擊,同時也不排除出現(xiàn)類似當(dāng)年紅色代碼手法的的蠕蟲擴散威脅,而同期網(wǎng)站篡改、黑鏈等攻擊也可能上升。
安天特別提醒網(wǎng)絡(luò)管理員,在打完微軟提供的補丁后,必須重啟修復(fù)才會生效,否則依然會面臨威脅。由于安天本身不從事熱補丁的研發(fā)工作,目前我們已經(jīng)了解到多個兄弟廠商在制作臨時熱補丁,對于不能宕機的用戶請查詢關(guān)注。此外,一些WINDOWS Server系統(tǒng)并非作為WEB使用,但其默認安裝IIS,這對網(wǎng)絡(luò)管理者來說,亦可能是一個防護盲點,請在所管理的網(wǎng)內(nèi)進行掃描檢測相關(guān)服務(wù)端口。