Már aktívan kihasználják a Windows HTTP stack-jének sebezhetőségét

Microsoft, Windows

MS15-034 workaround
Workaround: Output caching alatt a kernel cache letiltása

Nem tartott sokáig a támadóknak visszafejteni a Microsoft által az MS15-034-re kiadott javítást. A SANS Institute arra figyelmeztet, hogy az IIS webszerver adminok az utolsó utáni percben vannak a patchelést illetően, mert már aktívan kihasználják a sebezhetőséget.

A HTTP.sys hibáját kihasználva a támadók DOS-olhatják (BSOD) a sebezhető szervereket, de nem kizárt a távoli kódfuttatás sem. A sebezhetőség SSL-en keresztül is kihasználható (pl. OWA).

Javasolt a mielőbbi patchelés. Azoknak, akik valamiért nem tudnak azonnal patchelni, workaround lehet a javítás telepítéséig IIS7 alatt a kernel caching letiltása (kép fent).

Részletek itt és itt.

Amit elfelejtettél kivastagítani abban van számodra a rejtély megfejtésének kulcsa: a biztonsági közlemény megjelenéséig nem érkezett olyan információ, amely arra utalt volna, hogy ezt a sebezhetőséget publikusan kihasználták volna korábban.

Hogy mit jelent ez? Azt jelenti, hogy a sebezhetőséget nem egy támadás felgöngyölítése során ismerték fel.

Ezt én is elolvastam. Az update-nek meg így kellene kinéznie:

"But starting from today, you are in deep shit if you dont install it immediately! As all script kiddie and wannabe haxor is actively exploiting the bug."

Na, valami ilyesmi, és akkor nem altatják az embert, h. ha felfedezéskor nem használták ki akkor 48 órával később még talán nem vagyunk annyira elkésve a WSUS meg az SCCM kattintgatásával. (A cikk alapján pedig de!) Különben vakargathatjuk a seggünket kényelmesen jövő hétig is. Elvégre már péntek este van, nem most fogja az átlag rendszergazda approve-olni az updateket. Hétfőn meg deface-elve virít a céges homepage v. a webshop.

Mondjuk megértem azokst is, akik nem kapkodják el mostanság a windows updetelést: fene se akar rollback-el szopni a minden hónapban elb*szott valamelyik update miatt. Exchange szerver 2013 adminnak meg kifejezetten szar lehet lenni manapság. Exchange update-et éles rendszeren 2 hónapig bottal se piszkálnék, akkor is csak úgy ha előtte demó rendszeren ment legalább 1 hónapot jól, és az Exchange Technet blogon se kezdték el szórni az anyázást 4. Ross Smith-re.
--
WP8.x kritika: http://goo.gl/udShvC

Ez egy biztonsági közlemény hozzáértő szakembereknek, nem bulvárújság hülyegyerekeknek. Nyilvánvalóan aki ért hozzá az tudja, hogy ha eddig nem is használták ki, akkor ezután már nagyobb az esély rá. Ennek ellenére nem túl meglepő módon benne van a figyelmeztetés, hogy ösztönzik az ügyfeleket, alkalmazzák a frissítéseket, úgyhogy nyitott ajtón kopogtatsz.

Hétfőn meg deface-elve virít a céges homepage v. a webshop.

Ebből látszik, hogy nem értesz hozzá, csak fröcsögsz itt feleslegesen. Ott ugyanis nem tartunk, hogy ezt DoS mellett másra is kihasználnák és a "script kiddie and wannabe haxor" nem is fogja tudni ezt megtenni a hétvégén, mert ahhoz érteni kellene komolyabb dolgokhoz, mint netcat vagy curl parancsok futtatása...

Eddig talan meg nem volt szokas 48 oran belul visszafejteni a peccselt dll es az eredeti kozotti diff-et. Nemtom. De valoszinu ez nem standard, kulonben nem lenne kulon kiemelt cikk rola.

Mas. Ott van a cimben benne vilagosan h. remote code execution. System userrel. Akkor miert is nem lehet system useres shellbol torolni az Inetpub-ot? Par nap mulva ott lesz ra a plugin a metasploit-ban, es a wannabe haxor 1kattintassal defaceli az index.html-t. Es lehet h. meg curl-t se kellett parametereznie hozza! De higyj amit akarsz, tenyleg nem ertek hozza.

--
WP8.x kritika: http://goo.gl/udShvC

Eddig talan meg nem volt szokas 48 oran belul visszafejteni a peccselt dll es az eredeti kozotti diff-et

Tévedés. Ez már megtörtént az első néhány órában, ezért van rá checker...

Ott van a cimben benne vilagosan h. remote code execution. System userrel. Akkor miert is nem lehet system useres shellbol torolni az Inetpub-ot?

Mivel ez egy kernel driver, ezért a SYSTEM user emlegetése már önmagában is vicces és a hozzánemértés bizonyítéka... Nyilvánvalóan kernel szintű kódvégrehajtás történhet, de mivel a Microsoft meglehetősen óvatos szokott lenni ilyen esetekben, ezért koránt sem kell készpénznek venni, hogy triviális lesz RCE exploitot írni rá.

Par nap mulva ott lesz ra a plugin a metasploit-ban, es a wannabe haxor 1kattintassal defaceli az index.html-t. Es lehet h. meg curl-t se kellett parametereznie hozza!

Legalábbis ahogy Móricka^Wricsip elképzeli.

De higyj amit akarsz, tenyleg nem ertek hozza.

Akkor ebben legalább egyetértünk...