深入解讀:Windows HTTP.sys遠(yuǎn)程代碼執(zhí)行漏洞跟蹤進(jìn)展
發(fā)布時(shí)間:2015-04-21此次微軟公告MS15-034 IIS7 http.sys漏洞,,引來(lái)業(yè)界的關(guān)注,,其震蕩性不亞于Windows領(lǐng)域的心臟出血事件,。綠盟科技威脅響應(yīng)中心啟動(dòng)緊急響應(yīng)機(jī)制,,在4月15日、4月16日分別發(fā)布緊急通告及產(chǎn)品規(guī)則升級(jí)通告,,請(qǐng)受影響的用戶(hù)盡快升級(jí)廠(chǎng)商的補(bǔ)丁及綠盟科技產(chǎn)品規(guī)則包,。
據(jù)綠盟科技互聯(lián)網(wǎng)廣譜平臺(tái)數(shù)據(jù)顯示,全球部署IIS的系統(tǒng)數(shù)量大概有444萬(wàn)余,,從目前受影響的IIS各版本分布統(tǒng)計(jì)數(shù)據(jù)來(lái)看,,其中IIS 7.5部署量最大,占比42.3%,,也是本次漏洞追蹤分析的重點(diǎn),。
經(jīng)過(guò)綠盟科技研究院的深入分析,利用此漏洞的攻擊大致會(huì)有兩種形式:一種,,攻擊門(mén)檻比較低,,很容易通過(guò)攻擊導(dǎo)致服務(wù)器系統(tǒng)藍(lán)屏;第二種,,如果攻擊者的水平比較高,,就可以精確的控制內(nèi)存,通過(guò)遠(yuǎn)程執(zhí)行代碼獲得對(duì)系統(tǒng)的完全控制,。尤其是面臨高價(jià)值回報(bào)的攻擊目標(biāo)時(shí),,發(fā)生的幾率就更高了,企業(yè)或組織的IT人員需要盡快考慮應(yīng)對(duì)方案,,避免在安全防御措施上線(xiàn)之前遭受攻擊,。
此次http.sys漏洞危害不可輕視,特別是一些大型的企業(yè)和組織,,制定相關(guān)應(yīng)對(duì)方案及執(zhí)行措施需要一段時(shí)間,,在此時(shí)間內(nèi)建議按照如下步驟,以免在全面加固之前受到利用該漏洞的攻擊,,遭受不必要的損失,。建議http.sys漏洞應(yīng)對(duì)方案如下:
1.盡快了解漏洞的相關(guān)信息,包括漏洞的影響范圍和深度,;
2.使用工具對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行安全的,、全面的掃描,以便為方案制定提供依據(jù),;
3.邀請(qǐng)漏洞相關(guān)廠(chǎng)商及安全廠(chǎng)商一起,,從業(yè)務(wù)穩(wěn)定性、危害程度和范圍及重要性等多個(gè)維度綜合考慮,,制定整改時(shí)間計(jì)劃表和細(xì)化方案,;
4.加固完成后,,再次進(jìn)行完整掃描、人工驗(yàn)證整改加固結(jié)果,,以及分析業(yè)務(wù)系統(tǒng)日志,,識(shí)別加固期間是否遭受攻擊,;
5.整體工作完成后,,切記要進(jìn)行總結(jié)和備案記錄,如果后續(xù)有需求,,可以追溯及備查,。
