ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2015-04-15

MS15-034で修正されたHTTP.sysの脆弱性 CVE-2015-1635についてまとめてみた。

| 01:30 |  MS15-034で修正されたHTTP.sysの脆弱性 CVE-2015-1635についてまとめてみた。を含むブックマーク

2015年4月のMicrosoftが公開した更新プログラム MS15-034で修正されたHTTP.sysの脆弱性について関連情報をまとめます。

脆弱性概要

脆弱性の概要情報は次の通り。

愛称無し
アイコン無し
CVECVE-2015-1635
発見者名“…the Citrix Security Response Team…”
MSは協調的な脆弱性の公開を通じて情報を得たと発表。

HTTP.sys が特別に細工された HTTP リクエストを誤って解析した場合に、HTTP プロトコル スタック (HTTP.sys) にリモートでコードが実行される脆弱性が存在します。攻撃者がこの脆弱性を悪用した場合、システム アカウントコンテキストで任意のコードが実行される可能性があります。

この脆弱性の悪用には、攻撃者が特別な細工をした HTTP リクエストを影響を受けるサーバーに送信する必要があります。

https://technet.microsoft.com/library/security/MS15-034

脆弱性評価

定量評価 (CVSS)
発信元CVSS値
NVD10.0
JPCERT/CC10.0
評価詳細
評価尺度NVDJPCERT/CC
攻撃元区分ネットワークネットワーク
攻撃条件の複雑さ低い低い
攻撃前認証要否不要不要
機密性への影響全面的全面的
完全性への影響全面的全面的
可用性への影響全面的全面的
定性的評価
TrendMicro攻撃が非常に容易である危険性が高い
ソフトバンクテクノロジー可能な限り早急に対策を講じていただくことを強く推奨
IPA当該脆弱性に未対応の方は、至急、修正プログラムを適用してください
IBM TokyoSOC外部に公開されているシステムにおいて脆弱性の対象となるシステムを利用している場合には、早急なアップデートの実施または回避策の適用を推奨

影響対象

Windows Server 2003Windows Server 2008Windows Vistaを除く、Windows OS(Server Core含む)が対象。

対策

回避策
  • 出力キャッシュ(「カーネルキャッシュを有効にする」のチェックを外す)を無効にする。(IIS専用の回避策) ただし、パフォーマンス影響が懸念されることから変更する際に十分な検証が必要。
  • メモリリークについては出力キャッシュ設定を無効化しても影響を受けるとの検証報告がある。

f:id:Kango:20150416012220p:image

検証コード

現在piyokangoが確認している検証コードは次の2つです。(2015年4月17日更新) 任意のコードを実行させるものは確認できていません。

IISが動作するサーバーにおいてBSODを発生させる
メモリリークにより別コンテンツが表示される

CVE-2015-1635の検証コード動画

CVE-2015-1635のPoC検証(BSOD編)

次のコマンドをターゲットのサーバー(Windows Server 2008 R2)に対して実行するとBSODが発生した。

wget --header="Range: bytes=18-18446744073709551615" [target]/welcome.png

f:id:Kango:20150416012221p:image:w500

検証時メモ
  • IIS7.5では出力キャッシュが既定で有効状態になっている。
  • BSOD発生後すぐ再起動が行われた。*1
  • キャッシュ設定無効後にIIS再起動は不要だった。
  • curl(cygwinで実行)では検証コードは成功せず。
    • 失敗していた理由は再送処理が影響していた模様。*2 *3
    • さらにcurlで「-H」ではなく「--range」オプションを使用すればBSODが発生すると教えていただきました。
  • ターゲットを指定する際は明示的にリソース(ファイル)を指定する必要がある。例えば「http://192.168.0.1/」ではBSODは発生しなかった。
Windows Server 2012 でもBSODとなることを確認

CVE-2015-1635のPoC検証(メモリリーク編)

CVE-2015-1635のスキャン・攻撃活動が行われていると報告

CVE-2015-1635のRCEのExploitを売りますという情報(真偽不明)

  • 当初約1400万円だったが徐々に値下げが行われている模様。(4月19日夜時点で500万円程度)

謝辞

このまとめは次の方から頂いた情報を元に修正・更新を行っています。

  • @ntsujiさん
  • @0x009AD6_810さん
  • @ymzkei5さん
  • @timeparkさん
  • @vulcainさん

関連情報

主要メディア報道情報

メディア記事
日本経済新聞社マイクロソフトの最新サーバーOSに脆弱性 攻撃で機能停止も

更新履歴

  • 2015年4月16日 AM 新規作成
  • 2015年4月16日 AM Win2012でもBSODが発生することを確認したと情報を頂き反映
  • 2015年4月17日 PM メモリリークするPoCが確認されたことに伴い更新。

*1BSOD後に再起動するかは環境・設定による可能性があるとブコメでご指摘いただきました。

*2https://twitter.com/ymzkei5/status/588895434787069952

*3https://twitter.com/timepark/status/588903064943390721