Когда Microsoft сказала «А», обозначив MS15-034 как уязвимость удаленного выполнения кода, многочисленные администраторы Windows-серверов обратились в слух, ожидая в скором времени услышать и «Б».

Через три дня после публикации бюллетеня, предупреждающего о критической бреши в HTTP.sys, стеке HTTP-протоколов Windows, специалисты в области ИБ, в том числе эксперты института SANS, разнесли весть о появлении публично доступных DoS-эксплойтов, нацеленных на серверы IIS Microsoft. Данная уязвимость также открывает возможность для слива информации, что может иметь намного более серьезные последствия, однако на настоящий момент единственным сигналом о проблеме служит крэш и перезапуск IIS-сервера.

«Пока мы наблюдаем лишь активные эксплойты, нацеленные на отказ в обслуживании, — заявил Threatpost Йоханнес Ульрих (Johannes Ullrich), исследователь из института SANS. — Возможность раскрытия информации с использованием данной уязвимости была продемонстрирована, но на наших ловушках пока не зафиксирована. Отчетов о таком способе ее использования мы тоже не видели».

Ульрих не преминул также отметить активизацию сканов в Интернете, причем не только для поиска уязвимых веб-серверов, но и с целью вызвать аварийный отказ. «Эксплуатация данной уязвимости предельно проста, — предупредил эксперт участников веб-конференции, проведенной в экстренном порядке в минувший четверг. — В этой простоте и кроется главная проблема».

Microsoft со своей стороны рекомендует клиентам как можно скорее установить только что вышедший патч. «Бюллетень MS15-034 определяет эту уязвимость как баг удаленного выполнения кода; эксплойт в данном случае потребует некоторых усилий, но теоретически возможен», — заявил представитель Microsoft.

С появлением активных эксплойтов Центр по сетевым угрозам института SANS повысил уровень опасности для данной уязвимости. По словам исследователей, их ловушки обнаружили попытки атаки, исходящие с адреса 78[.]186[.]123[.]180. Судя по полученным на данный момент отчетам, большинство попыток эксплойта направлены против конкретных веб-серверов.

«Те, кто уже пережил DoS-атаку, подтвердят, что это намного более эффективный и простой способ добиться желаемого результата, чем NTP-отражение или какая-либо иная атака, — предупреждает Ульрих. — На настоящий момент это главная опасность, связанная с данной уязвимостью».

Использующие DoS-брешь злоумышленники атакуют преимущественно IIS-серверы, но это не значит, что проблема свойственна только этим устройствам. Стек HTTP.sys используют многие сервисы. «Уязвимость присутствует отнюдь не в IIS, она проявляется через IIS, — поясняет представитель SANS. — Данная брешь была обнаружена в HTTP.sys, который используют все Windows-системы, независимо от того, запущена в них служба IIS или нет. HTTP.sys — это системная библиотека, которая производит парсинг HTTP-запросов и реализует кэширование контента в памяти ядра».

До установки патча Microsoft предлагает отключить кэширование на уровне ядра IIS, но такая мера имеет свои недостатки. «Отключение кэширования на уровне ядра предотвратит эксплойт, — соглашается Ульрих. — Система уязвима лишь в том случае, если кэширование активно. Однако его отключение повлечет заметное снижение производительности, что для сайта с интенсивным трафиком равноценно отказу в обслуживании, так как он не сможет адекватно обслуживать все запросы».

Корень зла кроется в регламентировании поля Range заголовка HTTP, которое определяет порции веб-страниц, подлежащих выводу из памяти ядра и передаче на клиент. Если задать специальное значение поля Range, можно активировать DoS-уязвимость при соблюдении определенных условий в пределах этого диапазона. Потенциальные последствия могут быть катастрофическими, хотя подавляющее большинство серверов работает под Linux (согласно Netcraft, данная уязвимость открывает возможность для компрометации 70 млн сайтов).

Возможность раскрытия информации также нельзя скидывать со счетов, получить дамп памяти ядра через уязвимость в HTTP.sys сложно, но такие способы есть. Достаточно вспомнить Heartbleed, которая тоже влекла утечку из памяти и в итоге подверглась активному эксплойту, хотя и с разной степенью успеха. По словам Ульриха, раскрытие информации в данном случае сложнее исполнить, чем при эксплуатации Heartbleed, однако при успехе атакующий получит возможность удаленно выполнить произвольный код.

«В настоящее время нет ни одного эксплойта, способного обеспечить удаленное выполнение кода, — констатирует исследователь. — Атакующему, наверное, сначала придется использовать уязвимость раскрытия информации, чтобы понять структуру памяти, и лишь потом прибегнуть к эксплойту для удаленного выполнения кода. Однако, поскольку атака на раскрытие информации вызовет также перезапуск, эта информация может оказаться не столь ценной, как ожидает злоумышленник».

Категории: DoS-атаки, Главное, Уязвимости