Cert.se har gått ut med följande blixtmeddelande.
BM15-001 – Sårbarhet i Windows som påverkar IIS utnyttjas aktivt
Bristen i Microsoft Windows HTTP.sys (MS15-034) utnyttjas för närvarande aktivt
för att hindra åtkomst till sårbara IIS-webbservrar (Internet Information Server).
Datum: 2015-04-16
Problembeskrivning:
Microsoft rättade sårbarheten MS15-034 i tisdags och skrev att den skulle kunna
möjliggöra exekvering av skadlig kod men än så länge finns det inget som tyder
på att någon utnyttjat bristen på det sättet. I stället har det visat sig vara
enkelt att utnyttja den för att DoS:a sårbara IIS-installationer. Det finns kod
publicerad på internet som väldigt enkelt kan användas för att skicka ett
HTTP-anrop mot en sårbar IIS-webbserver som får själva servern att krascha
(blåskärm). Det spekuleras även om att bristen skulle kunna användas för att
läsa ut delar av minnesinnehållet på servern, liknande Heartbleed-buggen, men
det är inget vi känner till att någon lyckats göra.
Sårbara versioner är samtliga Windows 7, 8,& 8.1, Windows Server 2008 R2, 2012
& 2012 R2 ihop med IIS-6 eller IIS-7.
Åtgärder:
En temporär lösning är att avaktivera ”kernel caching” men det går bara att
göra på IIS-7. Men vi rekommenderar starkt att man uppdaterar sina system så
fort som möjligt för att undvika att drabbas.
Mer information:
SANS Internet Storm Center har en bra beskrivning och FAQ:
<https://isc.sans.edu/forums/diary/MS15034+HTTPsys+IIS+DoS+And+Possible+Remote+Code+Execution+PATCH+NOW/19583>
Information från Microsoft om sårbarheten
<https://technet.microsoft.com/library/security/MS15-034>
Länk till vårt råd med samma information på vår webb:
<https://www.cert.se/2015/04/sakerhetsbrist-i-windows-utnyttjas-aktivt-i-dos-attacker-mot-iis-webbservrar>
