La vulnerabilità di http.sys incide su Windows che non esegue alcun server web?

9

Il driver HTTP di livello kernel di Windows http.sys è interessato dalla vulnerabilità legata all'esecuzione di codice in modalità remota ( MS15 -034 ).

This security update resolves a vulnerability in Microsoft Windows. The vulnerability could allow remote code execution if an attacker sends a specially crafted HTTP request to an affected Windows system.

This security update is rated Critical for all supported editions of Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows 8.1, and Windows Server 2012 R2.

Cosa non mi è chiaro se http.sys sarebbe in esecuzione e in ascolto su una macchina Windows, su cui non è installato il server web?

Pubblica sull'installazione di nginx su Windows suggerisce che http.sys è in esecuzione a prescindere. È questo il caso o sarebbe disabilitato di default sulle versioni desktop di Windows?

    
posta vartec 16.04.2015 - 22:41
fonte

2 risposte

5

IIS è una delle molte applicazioni che riceve richieste HTTP passate da HTTP.sys, quindi HTTP.sys può essere caricato senza IIS in esecuzione o addirittura in fase di installazione.

Windows implementa un listener HTTP come parte del sottosistema di rete tramite un driver in modalità kernel (HTTP.sys). HTTP.sys è ciò che effettivamente ascolta le richieste HTTP e le trasmette all'applicazione responsabile dell'elaborazione della richiesta (ad esempio IIS / WinRM, ecc.). È anche responsabile del trasferimento della risposta HTTP all'applicazione client (ad esempio browser Web, PowerShell, ecc.). Stack del protocollo di trasferimento ipertestuale (HTTP.sys)

Esempi di applicazioni / servizi che utilizzano HTTP.sys: ADFS, Powershell Remoting (utilizza WinRM), SSDP (Simple Service Discovery Protocol), UPnP (Universal Plug and Play), Proxy dell'applicazione Web, Win Media Extender, WinRM (Gestione remota di Windows)

Nota che puoi eseguire netsh http show servicestate per vedere cosa sta usando HTTP.sys.

    
risposta data 18.04.2015 - 02:09
fonte
2

Questo reddit ci fornisce alcune informazioni basate sugli exploit segnalati. Come puoi vedere, si tratta di un problema riguardante la convalida nell'intestazione HTTP "Range". Alcuni utenti hanno riferito di aver ricevuto BSoD immediata dopo aver rilasciato le richieste menzionate ai loro server web.

Correzione : Quindi, come sembra, devi fare in modo che NON esegua IIS per essere interessato da questa vulnerabilità.

Modifica

Uno dei post dice:

"HTTP.sys is a driver used in lots of stuff not just IIS. I'm still tracking it down client side but from initial investigation, SSDP, UPnP, WinRM, Powershell Remoting, Win Media Extender..."

Qualcuno ha anche detto:

Suspect ADFS as well.

edit: Yes, bluescreen possible.

E per peggiorare le cose, il problema sta nel kernel, come indicato nella soluzione ufficiale del bollettino.

    
risposta data 17.04.2015 - 00:05
fonte

Leggi altre domande sui tag