Krytyczny zdalny błąd w usłudze HTTP Microsoftu

Odpowiednio skonstruowane żądanie HTTP może doprowadzić do wykonania dowolnego kodu z uprawnieniami administratora w każdej usłudze Microsoftu działającej w oparciu o HTTP. Takiego błędu już dawno nie widzieliśmy.

Pewnie niektórzy z Was pamiętają czasy, kiedy kwartał bez błędu umożliwiającego zdalne wykonanie kodu w serwerach IIS był ewenementem. Mimo iż dzisiaj jakość kodu i mechanizmów zabezpieczających znacznie wzrosła, to jak widać błędy podobnej kategorii dalej się zdarzają.

Scenariusz jak z horroru
W wydanym własnie biuletynie bezpieczeństwa MS15-034 już sam tytuł sugeruje poważne zagrożenie. Zdalne wykonanie kodu z powodu błędu w komponencie HTTP.sys nie brzmi dobrze. W praktyce zagrożenie to oznacza, że każda usługa w systemie Microsoftu korzystająca ze standardowych mechanizmów obsługi HTTP jest podatna na zdalny atak. Co więcej, atakujący może wykonać dowolne polecenie z uprawnieniami SYSTEM, czyli od razu uzyskuje pełna kontrolę nad systemem operacyjnym. Wynika to z architektury obsługi żądań HTTP, przeniesionej po części do jądra systemu dla zwiększenia wydajności procesu.

azaufanatrzeciastrona.pl_wp_content_uploads_2015_04_IIS_580x326.jpg
Jedna z podatnych usług

Podatne na ten błąd są wszystkie wspierane wersje systemu Windows, zarówno klienckie jak i serwerowe. Nie ma znaczenia, czy HTTP udostępniane jest za pomocą serwera IIS czy serwer WWW wystawiony jest w oparciu o aplikację stworzoną w .NET – wszystkie tego rodzaju usługi są podatne.

Nietypowy odkrywca
W polu „zgłaszający błąd” znajduje się ciekawy wpis: “…the Citrix Security Response Team…”(cytujemy w oryginalnym brzmieniu, łącznie z cudzysłowem i kropkami). Jeśli zgłaszającym jest zespół reakcji na incydenty bezpieczeństwa, można przypuszczać, że błąd został odkryty przy okazji analizy ataku w świecie rzeczywistym, co oznaczałoby, że ktoś próbował go już wcześniej wykorzystać. Z drugiej strony Microsoft w swoim biuletynie pisze „W momencie publikacji biuletynu Microsoft nie otrzymał informacji wskazujących by podatność ta była publicznie używana do atakowania klientów„. Zdanie to tylko pozornie stoi w sprzeczności z wyżej prezentowaną teorią o odkryciu błędu – kluczem może być słowo publicznie.

Nie wiemy jeszcze na czym konkretnie błąd polega, ale bez wątpienia niejeden zespół porównuje już pliki binarne i analizuje wprowadzone zmiany. W zależności od stopnia złożoności błędu obstawiamy, że odpowiedni moduł Metasploita pojawi się za 1-7 dni. Nie czekajcie z łataniem.