Уязвимость CVE-2015-1635 (MS15-034) эксплуатируется in-the-wild

в 8:46, , рубрики: cybercrime, MS15-034, vulnerability, Блог компании ESET NOD32, информационная безопасность, метки:

На этой неделе мы писали про критическое обновление MS15-034 для драйвера http.sys на Windows 7+ (включая Windows 10 TP). Злоумышленник с использованием специально сформированного заголовка запроса HTTP-протокола может удаленно исполнить код, организовать DoS-атаку или уронить систему в BSOD как на клиентских так и на серверных выпусках Windows. Сам драйвер http.sys загружается Windows на самых ранних этапах и отвечает за реализацию логики работы HTTP-протокола (реализует прикладной уровень модели OSI в Windows).

Уязвимость CVE-2015-1635 (MS15-034) эксплуатируется in-the-wild - 1

Напрямую эта уязвимость относится к серверным выпускам Windows, поскольку службы IIS, которые отвечают за механизмы реализации веб-сервера, используют этот драйвер для открытия и обслуживания HTTP-портов входящих подключений, которые и могут быть использованы для компрометации системы. Однако, на некоторых современных клиентских выпусках Windows (в зависимости от конфигурации системы и ее сервисов), работающие сервисы также могут открывать HTTP-порты для прослушивания входящих подключений.

Уязвимость CVE-2015-1635 (MS15-034) эксплуатируется in-the-wild - 2

Сама эксплуатация возможна через задание специального значения поля Range заголовка HTTP (значение регламентировано RFC 2616, 14.35.1). Ниже приведен пример такого запроса.

GET / HTTP/1.1
Host: MS15034
Range: bytes=0-18446744073709551615

Этот запрос также может быть использован для проверки системы на уязвимость.

Уязвимость CVE-2015-1635 (MS15-034) эксплуатируется in-the-wild - 3
Рис. Предложение на подпольном форуме о продаже эксплойта для MS15-034.

Update: We are seeing active exploits hitting our honeypots from 78.186.123.180. We will be going to Infocon Yellow as these scans use the DoS version, not the «detection» version of the exploit. The scans appear to be «Internet wide».

isc.sans.edu

Одна из обнаруженных версий эксплойта ITW имела вид:

GET /%7Bwelcome.png HTTP/1.1
User-Agent: Wget/1.13.4 (linux-gnu)
Accept: */*
Host: [server-ip]
Connection: Keep-Alive
Range: bytes=18-18446744073709551615

Автор: esetnod32

Источник

Поделиться новостью

* - обязательные к заполнению поля