教育数字化知识图谱

4 月 14 日，微软月度例行安全公告披露了一个 HTTP.sys 远程代码执行漏洞，可能允许远程执行代码。国家信息安全共享平台（ CNVD ）已将该漏洞收录为高危漏洞（编号： CNVD-2015-02422 ），攻击者可以在系统帐户的上下文中执行任意代码或提升权限，主要威胁到 IIS 服务器的安全。目前，互联网已经出现了可以使服务器蓝屏的利用代码，但可导致控制服务器主机的攻击代码还未出现。具体情况通报如下：

一、漏洞情况分析

IIS 是微软提供的 WEB 服务程序，可以提供 HTTP 、 HTTPS 、 FTP 等相关服务，同时支持 ASP 、 JSP 等 WEB 端脚本，应用广泛。微软从 IIS6.0 开始，为了在 Windows 平台上优化 IIS 服务器性能而引入了 HTTP.sys 内核驱动程序。这次漏洞产生的原因是 HTTP.sys 未能正确分析经特殊设计的 HTTP 请求所致，通过发送特定构造的 HTTP 请求包，导致整数溢出。成功利用后，攻击者有可能在系统帐户的上下文中执行任意代码，导致拒绝服务或提取权限。目前相关分析表明，漏洞的溢出只限于整数型参数，直接构造可执行系统指令的攻击代码还有一定难度。

二、漏洞影响范围

根据 CNCERT 抽样检测结果，截至 2015 年 4 月 19 日，约 5.67 万个 IP 地址的 IIS 服务器存在漏洞，其中约 3.15 万个已打补丁修复，约 2.52 万个还存在漏洞且未被修复。

同时，受该漏洞影响的操作系统的 IIS 服务器包括 Windows 7 、 Windows 8 、 Windows server 2008 、 Windows server 2012 。 CNCERT 评估认为 , 一旦可用的远程执行利用代码被披露，则有可能造成大规模的针对 IIS 服务器的攻击。

三、漏洞修复建议

通过修改 Windows HTTP 堆栈处理请求的方式，可以修复此漏洞，并且微软已经发布了修复该漏洞的补丁。相关建议如下：

（一）广大用户应尽快下载更新，安装完成后重启系统使补丁生效。补丁下载链接： https://support.microsoft.com/zh-cn/kb/3042553

（二）相关单位可对使用的微软 Server 系统进行排查，特别注意不作为 Web 服务器的系统，可能存在默认安装了 IIS 服务的情况。

CNCERT 将继续跟踪后续情况，如需技术支援，请联系 CNCERT 。邮箱： cncert@cert.org.cn ，电话： 010-82990999 。

参考链接： http://www.cnvd.org.cn/webinfo/show/3614

（注：国家信息安全漏洞共享平台（ CNVD ）、中国反网络病毒联盟（ ANVA ）成员单位——奇虎 360 公司、绿盟科技公司和安天公司协助对漏洞情况进行了深入的分析。）