WindowsカーネルレベルのHTTPドライバーhttp.sys
は、リモートコード実行の脆弱性( MS15-034 )の影響を受けます。
このセキュリティ更新プログラムは、Microsoft Windowsの脆弱性を解決します。この脆弱性により、攻撃者が特別に細工したHTTPリクエストを影響を受けるWindowsシステムに送信した場合、リモートでコードが実行される可能性があります。
このセキュリティ更新プログラムは、サポートされているすべてのエディションのWindows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows 8.1、およびWindows Server 2012 R2に対して深刻度「緊急」と評価されています。
私にはっきりしないのは、http.sys
は、WebサーバーがインストールされていないWindowsマシンで実行およびリスニングしますか?
nginxのインストールに関する投稿 Windowsでは、http.sys
は関係なく実行されています。そうですか、それともデスクトップのWindowsバージョンではデフォルトで無効になりますか?
IISは、HTTP要求をHTTP.sysから渡される多くのアプリケーションの1つであるため、IISを実行せずに、またはインストールしなくても、HTTP.sysをロードできます。
Windowsは、カーネルモードドライバー(HTTP.sys)を介して、ネットワークサブシステムの一部としてHTTPリスナーを実装しています。 HTTP.sysは、実際にHTTPリクエストをリッスンし、リクエストの処理を担当するアプリケーション(IIS/WinRMなど)に渡します。また、HTTP応答をクライアントアプリケーション(Webブラウザー、PowerShellなど)に渡す役割も果たします。 ハイパーテキスト転送プロトコルスタック(HTTP.sys)
HTTP.sysを使用するアプリケーション/サービスの例:ADFS、Powershell Remoting(WinRMを使用)、SSDP(Simple Service Discovery Protocol)、UPnP(ユニバーサルプラグアンドプレイ)、Webアプリケーションプロキシ、Win Media Extender、WinRM(Windowsリモート管理)
netsh http show servicestate
を実行すると、HTTP.sysを使用しているものを確認できます。
これは reddit 報告されたエクスプロイトに基づいたいくつかの情報を提供します。ご覧のとおり、これは「範囲」HTTPヘッダーでの検証に関する問題です。一部のユーザーは、前述のリクエストをWebサーバーに発行した後、すぐにBSoDを取得すると報告しました。
修正:それで、あなたがそうしているように[〜#〜]しない[〜#〜]この脆弱性の影響を受けるにはIISが実行されている必要があります。
編集:
投稿の1つは言う:
「HTTP.sysは、IISだけでなく、多くのことで使用されているドライバーです。クライアント側で追跡していますが、初期調査から、SSDP、UPnP、WinRM、Powershell Remoting、Win Media Extender ...」
誰かが言った:
ADFSも疑います。
編集:はい、可能です。
さらに、事態を悪化させるために、問題はカーネルにあります。