2015-04-17 Viðvörun vegna veikleika í Windows vefþjónum

Þann 14. apríl sl. kom í ljós veikleiki í Windows stýrikerfum sem getur gert árásaraðila tiltölulega auðvelt að valda þjónusturofi vefþjóna, með því að útbúa og senda á þá sérstaklega gerða gagnapakka.

Þessi veikleiki er þekktur sem CVE-2015-1635 og hrjáir eftirfarandi Windows stýrikerfi:

  • Windows 7
  • Windows 8
  • Windows 8.1
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2

Veikleikinn byggir á því hvernig Windows kerfið http.sys meðhöndlar http skeyti, þá sérstaklega range breytu skeytisins, sem árásaraðili getur skilgreint þannig að hún sé stærri en http.sys ræður við. Afleiðingin er svipuð og hefðbundin vél sem höktir og hættir að lokum að snúast, þ.e. vefþjóninn hættir að virka og upp kemur svokallaður bláskjár í tilheyrandi þjónusturofi.

Microsoft gaf fljótlega út endurbót sem nefnist Microsoft Security Bullitin MS15-034 – Critical.

Ekki hafa allir uppfært kerfi sín og þann 16. apríl kom í ljós að óprúttnir aðilar voru farnir að nota árásarkóða sem nýtir umræddan veikleika. Microsoft útilokar ekki að hægt sé að nýta veikleikann til að keyra árásarkóða beint á vél fórnarlambsins (þ.e.a.s Remote Code Execution) til að taka yfir stjórn vélarinnar.

Af þessum ástæðum mælir CERT-ÍS sterklega með að kerfisstjórar og fyrirtæki sem reka Microsoft vefþjóna (IIS) uppfæri vélar sínar tafarlaust eða grípi til annarra úrræða sem koma fram í fyrrgreindum endurbótum MS15-034.

Frekari upplýsingar:

Nánari upplýsingar um veikleikann og fleira um þetta mál má finna á Internet Storm Center SANS stofnunarinnar:
https://isc.sans.edu/forums/diary/MS15034+HTTPsys+IIS+DoS+And+Possible+Remote+Code+Execution+PATCH+NOW/19583/

Hér má finna upplýsingar frá Microsoft um MS15-034 endurbótina:
https://technet.microsoft.com/en-us/library/security/ms15-034.aspx