Távolról mattolhatóak az windowsos webes kiszolgálók
A héten olyan frissítést adott ki a Microsoft, amelyet azonnal érdemes minden, a webre kirakott, Windows futtató gépre telepíteni. A sérülékenység ugyanis lehetővé teszi, hogy a támadó egyetlen jól formázott lekéréssel kékhalált idézzen elő.
Sürgősen érdemes frissíteni a windowsos szervereket, aktív támadás alatt van ugyanis egy, a kiszolgálókat érintő sérülékenység. Maga a hiba roppant egyszerűen, lekérésekkel kiváltható, néhány rosszindulatú szereplő már a teljes IP-címteret ilyen támadó csomagokkal bombázza, az eredmény pedig rengeteg merevre fagyott kiszolgáló.
Mitől áll meg?
A hiba leírása szerint a HTTP.sys, a Windows HTTP protokollt kezelő kernel stackje hibásan kezel egyes, speciálisan formázott lekéréseket - ez a hiba forrása. A Microsoft által kiadott információk szerint a hiba távoli kódfuttatásra is lehetőséget ad, ezt egyelőre biztonsági szakértőknek nem sikerült reprodukálniuk. Az eddig elvégzett tesztek szerint ettől még kritikus a hiba, a megfelelően formázott lekéréssel ugyanis lefagyasztható a kiszolgáló.
Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.
A hiba egészen pontosan ott található, ahogyan a HTTP.sys a fejlécben található Range paramétert feldolgozza, amellyel a lekérés egy-egy fájl adott részletére szűkíthető. Ez teszi lehetővé, hogy a kliens a letöltést újraindíthassa, vagy több szálon kérje le az adott állományt. Azonban ha a lekérésben túl nagy felső korlátot adunk meg, akkor a kiszolgálót teljesen ki is lehet fagyasztani. A sebezhetőségnek két fokozata van: a lenti parancsra a szerver csak atipikus hibaüzenetet küld ("Requester header range not satisfiable"), ha azonban kezdőpontként nem 0-t, hanem mondjuk 20-at adunk meg, kékhalál az eredmény. Javítás után egyébként a szervernek "The request has an invalid header name." üzenetet kell visszaadnia.
curl -v [ipaddress]/static.png -H "Host: test" -H "Range: bytes=0-18446744073709551615"
A sérülékenységet a Microsoft MS15-034-es javítócsomagja foltozza, a kiadási információk szerint a probléma érinti a Windows 7, Windows 8 és 8.1 mellett a Windows Server 2008 R2, 2012 és 2012 R2 kiadásokat, ráadásul a Server Core telepítéseket is frissíteni kell.
A SANS Institute Internet Storm Center jelentése szerint a frissítést mihamarabb érdemes feltelepíteni, a kihelyezett kanári-kiszolgálón ugyanis bizonyos forrásokból már érkezett támadó lekérés, ráadásul nem is a detektálásra, hanem rögtön a lefagyasztásra alkalmas fajtából.