IIS再出远程执行漏洞:警惕新红色代码

安天安全研究与应急处理中心(安天 CERT)

发布:2015年4月16日 0:37

最新更新:2015年4月16日 8:10




一、漏洞情况

微软在2015年4月的补丁日进行了多个漏洞修补,涉及到Windows、OFFICE、IE、IIS等多个环节,本次补丁数量显著高于平均水平。安天安全研究与应急处理中心通过补丁相关信息研判,认为其中有多个OFFICE和IE漏洞可能与近期各种攻击相关,而其中编号为MS15-034的IIS远程执行漏洞极为值得高度关注。
IIS是微软提供的WEB服务程序,全称是Internet Information Services,其可以提供HTTP、HTTPS、FTP等相关服务,同时支持ASP、JSP等WEB端脚本,有比较广泛的应用。
从MS15-034的等级和相关说明来看,攻击者可以获得远程具有IIS服务的主机执行代码和提权能力,其针对了驱动HTTP.SYS实现特殊构造的HTTP请求,就可以在System账户账户上下文中执行任意代码。这一漏洞影响的版本包括:

  • Windows 7(多数版本默认不安装IIS)
  • Windows Server 2008 R2
  • Windows 8
  • Windows 8.1
  • Windows Server 2012
  • Windows Server 2012 R2

二、风险影响分析

安天CERT提醒广大用户:由于WEB 服务本身的开放特点,极易被大规模轻载的扫描探测到。而对于熟练的攻击者来说,现有WEB系统的IP分布、包括其对应的WEB SERVER类型和版本,甚至是一种既有资源。因此各种攻击团伙有可能会快速找到大量目标,因此当前有大量服务器处于危险当中。
目前已经出现可以使服务器蓝屏的利用代码,但截止到2015年4月15日24:00时,安天捕风蜜网和其他感知通道尚未捕获到有效的提权攻击行为,但已经发现针对80端口的扫描次数有所增加,但这并不表示不存在这种攻击,或未来不会出现大面积的攻击。同时由于时间关系,我们目前尚未有效测试DEP和ASLR等机制是否能形成有效的防护,尽管类似DEP机制对于IIS应进行了默认的防护。
IIS的安全脆弱性曾长时间被业内诟病,早期出现了ASP源码泄露等相关多个漏洞,并关联导致了对后台数据库的相关风险。而在早期各个漏洞,其中造成了重大影响的是2001年,曾被红色代码(Codered)系列利用的高端溢出漏洞。其具有内存传播,大量线程扫描,设置CMD后门等特点,基本将当时各个安全防护的模式击穿。而其遗留的CMD后门更引发了连锁此生灾害。
在微软全面强化内存安全防护后,IIS的严重漏洞得到了有效控制,也一度出现IIS的0DAY售价数百万的各种传言。这也证明了一旦IIS出现远程执行漏洞威胁将会非常严重。MS15-034,一方面有可能出现大量的渗透攻击,同时也不排除出现类似当年红色代码手法的的蠕虫扩散威胁,而同期网站篡改、黑链等攻击也可能上升。
安天特别提醒网络管理员,在打完微软提供的补丁后,必须重启修复才会生效,否则依然会面临威胁。由于安天本身不从事热补丁的研发工作,目前我们已经了解到多个兄弟厂商在制作临时热补丁,对于不能宕机的用户请查询关注。此外,一些WINDOWS Server系统并非作为WEB使用,但其默认安装IIS,这对网络管理者来说,亦可能是一个防护盲点,请在所管理的网内进行扫描检测相关服务端口。

安天CERT会进一步跟踪和关注相关事件进展,并向公众通报。

附录一:参考资料和补丁编号

微软官方信息:https://technet.microsoft.com/zh-CN/library/security/ms15-034.aspx
官方补丁下载:https://support.microsoft.com/zh-cn/kb/3042553

360公司,【安全告警】IIS远程执行代码漏洞(CVE-2015-1635):http://bobao.360.cn/news/detail/1435.html?from=groupmessage&isappinstalled=0


 

 

附录二:关于安天

安天是专业的下一代安全检测引擎研发企业,安天的检测引擎为网络安全产品和移动设备提供病毒和各种恶意代码的检测能力,并被超过十家以上的著名安全厂商所采用,全球有数万台防火墙和数千万部手机的安全软件内置有安天的引擎。安天获得了2013年度AV-TEST年度移动设备最佳保护奖。依托引擎、沙箱和后台体系的能力,安天进一步为行业企业提供有自身特色的基于流量的反APT解决方案。

 

关于反病毒引擎更多信息请访问:

http://www.antiy.com(中文)

http://www.antiy.net(英文)

关于安天反APT相关产品更多信息请访问:

http://www.antiy.cn

附录三:勘误说明

 由于成文仓促,本文第一版出现了一些不应有的笔误,特此致歉。
第一版中“微软在2014年4月的补丁日”应为“微软在2015年4月的补丁日”
第一版中“截止到2015年4月25日24:00时”应为“截止到2015年4月15日24:00时”

文章分享二维码: