HTTP.sys远程代码执行漏洞修复

大家好，很高兴再次与大家见面，我是你们的朋友全栈君。

1. 漏洞描述：Http.sys是Microsoft Windows处理HTTP请求的内核驱动程序。HTTP.sys会错误解析某些特殊构造的HTTP请求，导致远程代码执行漏洞。成功利用此漏洞后，攻击者可以在System帐户上下文中执行任意代码。由于此漏洞存在于内核驱动程序中，攻击者也可以远程导致操作系统蓝屏。此次受影响的系统中，Windows7、Windows8、WindowsServer 2008 R2和WindowsServer 2012所带的HTTP.sys驱动均存在一个远程代码执行漏洞，远程攻击者可以通过IIS7（或更高版本）服务将恶意的HTTP请求传递给HTTP.sys驱动，通过发送恶意的HTTP请求导致远程代码执行或操作系统蓝屏。

2. 复现环境：Windows 7 + IIS 7

3. 漏洞确认：访问IIS界面，使用Burp Suite抓包，发送到Repeater中，在HTTP请求头中加入如下字段：Range: bytes=18-18446744073709551615，返回416状态码。

4. 漏洞利用：使用Kali的Metasploit msconsole，搜索ms15-034。

验证漏洞的方法：use auxiliary/scanner/http/ms15_034_http_sys_memory_dump，set rhosts 192.168.1.200，run。

利用漏洞的方法：use auxiliary/dos/http/ms15_034_ulonglongadd，set rhosts 192.168.1.200，set threads 10，run。

实验电脑已经蓝屏。

5. 漏洞修复方法：
   • 方法1：从微软官方网站下载ms15-034的补丁包。下载地址：https://www.php.cn/link/0ace141f8779c77b60cdc66fa22da900 Server 2008 R2（KB3042553）：https://www.php.cn/link/11b4076afd563b2612049c2c77465b32 Server 2012（KB3042553）：https://www.php.cn/link/15b16cf1aa29a55a67eeeb7dc6e5f686 Server 2012 R2（KB3042553）：https://www.php.cn/link/8607ff197189e941c0864127eee318df。
   • 方法2：网上的其他方法验证。IIS-功能视图-输出缓存-操作-编辑功能设置-启用内核缓存，取消勾选。注意：在网站-Default Web Site下的输出缓存，不是根目录下的输出缓存；修改后，漏洞验证仍显示存在，但漏洞利用已不再导致蓝屏。

发布者：全栈程序员栈长，转载请注明出处：https://www.php.cn/link/ad59ae2c6077196b68ff0c94a09fed73

以上就是HTTP.sys远程代码执行漏洞修复的详细内容，更多请关注php中文网其它相关文章！