MS15-034

Microsoft’un “patch Tuesday” (yama Salı’sı) kapsamında son gelen güncelelmesinde önemli bir güvenlik zafiyetini kapattığını görüyoruz Bu zafiyet saldırganlara sunucuyu hizmet dışı bırakma ve muhtemelen uzaktan komut çalıştırma imkan veriyor.

Zafiyet

Nasıl?
Saldırganın özel olarak hazırladığı HTTP istekleriyle bu zafiyeti istismar etmesi mümkündür.Zafiyet Windows üzerinde HTTP taleplerini işleyen yığını (stack) etkilemektedir, dolayısıyla dışarıdan gelen HTTP isteklerine açıktır.

Http.sys’i etkileyen bu zafiyeti aşağıdaki sunucularda istismar etmek mümkün gibi görünüyor:
Windows 7,
Windows 8,
Windows 8.1,
Windows Server 2008 R2,
Windows Server 2012,
Windows Server 2012 R2

 

Ne yapmalı?
IIS’lerinizi güncelleyin.
Güncellemeye engel bir durum varsa IPS (sızma tespit ve engelleme sistemi) üzerine ilgili kuralları ekleyin. Aşağıda açık kaynak IPS çözümü olan SNORT’a uygun bir örnek kural bulabilirsiniz. (Kullanmadan önce mutlaka test edin, benim test edecek imkanım olmadı)

alert tcp $EXTERNL_NET any -> $HOME_NET 80 (msg: ” MS15-034 Range Header HTTP.sys Exploit”; content: “|0d 0a|Range: bytes=”; nocase; content: “-“; within: 20 ; byte_test: 10,>,1000000000,0,relative,string,dec ; sid: 1001239;)

 

Benlik bir şey var mı?
Bu kritik zafiyetten etkilenip etkilenmediğinizi anlamanın yollarından birisi de önbellek taşırmaya imkan verecek bir HTTP talebi göndermektir. Bunun için aşağıdaki parametreyi HTTP taleplerinize ekleyebilirsiniz.

Range: bytes=0-18446744073709551615

Eğer bu talebinize aşağıdaki ekranlarda görüldüğü gibi bir dönüş alırsanız sunucunuzun bu zafiyetten etkilenme ihtimali vardır, güncelleme işlemini bekletmeden yapın.

Ms15034

 

Ms15034_1