آسیب پذیری MS15-034

آسیب پذیری MS15-034

در ارزیابی امنیتی و تست نفوذ شبکه سازمان ها در بعضی موارد سرور های ویندوز شبکه دارای آسیب پذیری منع سرویس یا اجرای کد از راه دور در پروتکل HTTP و مربوط به نوع درخواست های Windows HTTP stack handles (فایل سیستمی HTTP.sys) می باشد.

اما HTTP.sys چیست و برای چه مواردی بکار میرود؟

HTTP.sys یک درایور دیوایس کرنل می باشد و با توجه به توضیحات ماکروسافت در ساختار بندی IIS، این پروتکل به درخواست های HTTP از شبکه گوش میدهد و درخواست ها را به IIS برای پردازش میفرستد و در آخر پاسخ پردازش شده را به کلاینت باز میگرداند. این پروتکل برای کش کردن کرنل، صف کردن درخواست ها، درخواست پیش پردازش و فیلترینگ امنیت بکار میرود.

این آسیب پذیری که ماکروسافت در بولتن امنیتی MS15-034 برای رفع این آسیب پذیری در سال 2015 ارائه کرده است، می تواند قابلیت اجرای کد را برای نفوذگر فراهم کند. نفوذگر می تواند از این طریق سرور مورد نظر را کاملا از کار بیاندازد و در مواردی کد مورد نظر خود را بروی سرور اجرا کند و همچنین برای نفوذگر امکان دسترسی به نواحی ای از حافظه موقت (RAM) را فراهم می آورد.

اما این آسیب پذیری چگونه اتفاق میوفتد و مورد بهره برداری قرار میگیرد؟

بدلیل آسیب پذیری موجود در پشته پروتکلی HTTP (در HTTP.sys)، با ارسال HTTP Request های دستکاری شده خاصی، HTTP.sys به صورت نادرست درخواست را پارس کرده و برای نفوذگر امکان اجرای کد به صورت remote را فراهم می کند.

به عنوان مثال با دستکاری عدد در سرآیند Range فرستاده شده در یک درخواست HTTP منجر به ¹DDOS(منع سرویس) شود.

از این رو این آسیب پذیری بسیار خطرناک می باشد و احتمال به مخاطره افتادن کل شبکه یک سازمان بالا میرود به این دلیل توصیه میشود سازمان ها هرچند وقت یکبار آزمون تست نفوذ و ارزیابی امنیتی انجام دهند تا مشکلات امنیتی کاهش یابد.

_______________________

^{1- Denial of Service Attack}