2015年4月のMicrosoftが公開した更新プログラム MS15-034で修正されたHTTP.sysの脆弱性について関連情報をまとめます。
脆弱性概要
脆弱性の概要情報は次の通り。
| 愛称 | 無し |
|---|---|
| アイコン | 無し |
| CVE | CVE-2015-1635 |
| 発見者名 | “…the Citrix Security Response Team…” MSは協調的な脆弱性の公開を通じて情報を得たと発表。 |
HTTP.sys が特別に細工された HTTP リクエストを誤って解析した場合に、HTTP プロトコル スタック (HTTP.sys) にリモートでコードが実行される脆弱性が存在します。攻撃者がこの脆弱性を悪用した場合、システム アカウントのコンテキストで任意のコードが実行される可能性があります。
https://technet.microsoft.com/library/security/MS15-034
この脆弱性の悪用には、攻撃者が特別な細工をした HTTP リクエストを影響を受けるサーバーに送信する必要があります。
脆弱性評価
評価詳細
| 評価尺度 | NVD | JPCERT/CC |
|---|---|---|
| 攻撃元区分 | ネットワーク | ネットワーク |
| 攻撃条件の複雑さ | 低い | 低い |
| 攻撃前認証要否 | 不要 | 不要 |
| 機密性への影響 | 全面的 | 全面的 |
| 完全性への影響 | 全面的 | 全面的 |
| 可用性への影響 | 全面的 | 全面的 |
影響対象
Windows Server 2003、Windows Server 2008、Windows Vistaを除く、Windows OS(Server Core含む)が対象。
- Windows 7
- Windows 8/8.1
- Windows Server 2008 R2
- Windows Server 2012/2012 R2
対策
検証コード
現在piyokangoが確認している検証コードは次の2つです。(2015年4月17日更新) 任意のコードを実行させるものは確認できていません。
メモリリークにより別コンテンツが表示される
MS15-034 x=$[$(curl -sk $URLFILE -w"%{size_download}" -oo)-1];curl -sk $URLFILE -H"Range: bytes=$x-18446744073709551615" -o dmp;od -x dmp
— Juliano Rizzo (@julianor) 2015, 4月 15CVE-2015-1635の検証コード動画
CVE-2015-1635のPoC検証(BSOD編)
次のコマンドをターゲットのサーバー(Windows Server 2008 R2)に対して実行するとBSODが発生した。
wget --header="Range: bytes=18-18446744073709551615" [target]/welcome.png
検証時メモ
Windows Server 2012 でもBSODとなることを確認
Win2012にMS15-034の攻撃を試してみましたよ。結果、即死。 pic.twitter.com/LkQYRdF0ZL
— 辻 伸弘(nobuhiro tsuji) (@ntsuji) 2015, 4月 15CVE-2015-1635のPoC検証(メモリリーク編)
MS15-034のメモリリークのPoC。Rangeの開始を"filesize-1"にすることがポイント。 https://t.co/xNEuofP70G
— 北河拓士 KITAGAWA,Takuji (@kitagawa_takuji) 2015, 4月 17MS15-034 memory leak demonstration by @bugch3ck: (note the data after </html>)
https://t.co/1JVXWBXHru via @julianor pic.twitter.com/prQ2phKpau
— Kenn White (@kennwhite) 2015, 4月 17MS15-034のやつ、確かに、メモリリークで別のコンテンツが</html>の後ろに見えたりするっぽいなぁ。パッチ適用していれば発生しないけど、パッチ当てずに「回避策」の「カーネルキャッシュの無効化」だけだと防げないっぽい? pic.twitter.com/uAsIUqh8WE
— やまざきkei5 (@ymzkei5) 2015, 4月 17コンテンツが漏れる(キャッシュされる)条件がイマイチ分からないや。サイズとか、同じIPアドレスからじゃないとダメ?とか。
— やまざきkei5 (@ymzkei5) 2015, 4月 17CVE-2015-1635のスキャン・攻撃活動が行われていると報告
We have detected MS15-034 scanning activity from http://t.co/TKm3jHFu27. "User-Agent: masscan/1.0".
— Kanatoko (@kinyuka) 2015, 4月 15CVE-2015-1635のRCEのExploitを売りますという情報(真偽不明)
- 当初約1400万円だったが徐々に値下げが行われている模様。(4月19日夜時点で500万円程度)
MS15-034 (http.sys) exploit is up for sale already. Current price: 517.06308170 BTC = 116.437$. pic.twitter.com/LR6qJmaehj
— Yonathan Klijnsma (@ydklijnsma) 2015, 4月 17MS15-034 IIS remote code execution verified exploit now for sale priced at $ 12K http://t.co/OrHQi9n1pb pic.twitter.com/q7QAvjfQHP
— Yonathan Klijnsma (@ydklijnsma) 2015, 4月 19謝辞
このまとめは次の方から頂いた情報を元に修正・更新を行っています。
- @ntsujiさん
- @0x009AD6_810さん
- @ymzkei5さん
- @timeparkさん
- @vulcainさん
関連情報
- 更新:Microsoft 製品の脆弱性対策について(2015年4月)
- WebサイトをOSごと強制終了させる攻撃コードを確認(MS15-034) | トレンドマイクロ セキュリティブログ
- HTTP.sysファイルの処理の脆弱性により、リモートから任意のコードを 実行可能な脆弱性(CVE-2015-1635)(MS15-034)に関する調査レポート | ソフトバンク・テクノロジー
- JVNDB-2015-002263 複数の Microsoft Windows 製品の HTTP.sys における任意のコードを実行される脆弱性
- マイクロソフト セキュリティ情報 MS15-034 - 緊急 HTTP.sys の脆弱性により、リモートでコードが実行される (3042553)
- AzureにおけるHTTP.sys脆弱性 (MS15-034) の対応 | S/N Ratio (by SATO Naoki)
- PoCから読み解くMS15-034 2015-04-17 - wakatonoの戯れメモ
- Remote Code Execution Via HTTP Request In IIS On Windows
- Protection against critical Windows vulnerability (CVE-2015-1635)
- InfoSec Handlers Diary Blog - MS15-034: HTTP.sys (IIS) DoS And Possible Remote Code Execution. PATCH NOW
- The Delicate Art of Remote Checks – A Glance Into MS15-034 | BeyondTrust
主要メディア報道情報
| メディア | 記事 |
|---|---|
| 日本経済新聞社 | マイクロソフトの最新サーバーOSに脆弱性 攻撃で機能停止も |
更新履歴
*1:BSOD後に再起動するかは環境・設定による可能性があるとブコメでご指摘いただきました。
