Microsoft IIS servisi ile ilişkili HTTP.sys içerisindeki bir açıklıktan kaynaklı olarak sunucu servisine Hizmet Durdurma saldırısı (DoS) yapılabiliyor.
Microsoft’un 14 Nisan 2015 tarihinde yayınladığı yamayı sisteminize uygulamanız tavsiye edilir.
Bu zaafiyetten dolayı SANS’ın Global İnternet tehdit seviyesi SARI’ya yükseldi.
Daha fazla bilgi için;
https://isc.sans.edu/forums/diary/MS15034+HTTPsys+IIS+DoS+And+Possible+Remote+Code+Execution+PATCH+NOW/19583/
https://technet.microsoft.com/en-us/library/security/ms15-034.aspx
MA15-034 HTTP.sys dosyası içerisinde uzaktan kod çalıştırmaya neden olan bir zaafiyettir.
Zaafiyet Microsoft’un IIS servisini kullanan tüm işletim sistemlerinde mevcuttur. (Windows 7,8,8.1 – Windows Server 2008, 2008 R2, 2012, 2012 R2.)
Zaafiyet Windows Server 2003 işletim sistemini etkilememektedir,
Açıklık konfigürasyon ile kapatılamamakta, yazılım güncellemesi gerekmektedir.
Hizmet durdurmaya neden olan zaafiyetin çalıştırılması için saldırganın özel olarak hazırlanmış bir HTTP paketini web sunucusuna göndermesi yeterlidir.
https://technet.microsoft.com/en-us/library/security/ms15-034.aspx
Zayıflığın 70 milyon’dan fazla sistemi/servisi etkilemektedir.
Örnek Exploit Kodu:
http://packetstormsecurity.com/files/131463/Microsoft-Windows-HTTP.sys-Proof-Of-Concept.html
SANS Infocon Sarı Seviyesinin Tanımı: Dikkate değer yeni bir tehdit tespit edildi ve takip edilmekte. Etki tanımlanamış veya düşüktür. Bununla birlikte yerel sisteme olan etki dikkate değer olabilir. Kullanıcıların derhal spesifik bir aksiyon alması önerilir. (Örnek MMSBlaster)
Infocon seviyeleri hakkında bilgi için: https://isc.sans.edu/infocon.html
STANDART REFERANS: ISO 27001:2013
A.12.6.1
A.16.1.5
|
____ Innovation Science Labs ____
|