微软在安全响应中心发布安全通告称,运行互联网信息服务 (IIS) 的Windows Server 和 Windows 10 服务器易受拒绝服务 (DoS) 攻击。
确切地说,所有运行 Windows Server 2016、Windows Server 版本1709、Windows Server 版本1803 以及 Windows 10(版本1607、1703、1709和1803)的Windows 10 均易遭该 DoS 攻击。
微软 ADV190005 安全通告指出,该漏洞可导致潜在的远程攻击者通过利用一个 IIS 资源耗尽 bug 触发 DoS 条件。该 bug “能够临时导致系统 CPU 使用率蹿升至100%,直到恶意链接遭 IIS 杀死。”
恶意人员能够发送恶意构造的 HTTP/2 请求,启动针对易受攻击的 Windows 服务器的 DoS 攻击。
微软在安全通告中指出,目前尚未有针对该漏洞(由F5 Networks 公司研究员 Gal Goldshtein 报告)的缓解措施或变通措施。微软建议所有用户安装如下表所列的二月份发布的非安全类安全更新。
产品 | 文章 |
Windows 10 Version 1607 for 32-bit Systems | 4487006 |
Windows 10 Version 1607 for x64-based Systems | 4487006 |
Windows 10 Version 1703 for 32-bit Systems | 4487011 |
Windows 10 Version 1703 for x64-based Systems | 4487011 |
Windows 10 Version 1709 for 32-bit Systems | 4487021 |
Windows 10 Version 1709 for 64-based Systems | 4487021 |
Windows 10 Version 1709 for ARM64-based Systems | 4487021 |
Windows 10 Version 1803 for 32-bit Systems | 4487029 |
Windows 10 Version 1803 for ARM64-based Systems | 4487029 |
Windows 10 Version 1803 for x64-based Systems | 4487029 |
Windows Server 2016 | 4487006 |
Windows Server 2016 (Server Core installation) | 4487006 |
Windows Server, version 1709 (Server Core Installation) | 4487021 |
Windows Server, version 1803 (Server Core Installation) | 4487029 |
正如微软在 ADV190005 安全通告中详述的那样:“HTTP/2 标准允许客户端明确具有任意 SETTINGS 参数的任意数量的 SETTINGS 框架。在某些情况下,过度设置可引发服务不稳定且导致 CPU 使用临时剧增,直到出现连接超时且连接关闭。”
作为缓解措施,微软安全团队“增加了对请求中 HTTP/2 SETTINGS 数量的阈值进行定义的能力”,说明IIS 管理员在评估系统环境和 HTTP/2 协议要求后必须设置的阈值级别,因为微软不会预配置。
为了设置这些限制,微软在易受攻击的 Windows 10 版本中添加了如下注册表项。
Path: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters
Name: Http2MaxSettingsPerFrame
Type: DWORD
Data: Supported min value 7 and max 2796202. Out of range values trimmed to corresponding min/max end value.
Path: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters
Name: Http2MaxSettingsPerMinute
Type: DWORD
Data: Supported min value 7. Smaller value trimmed to the min value.
一旦在运行 IIS 的 Windows 系统上设置阈值后,连接将立马被杀死:
如单个 Setting 框架包含的设置参数多于“Http2MaxSettingsPerFrame”值。
如果一分钟内收到的多个 Settings 框架中包含的设置参数数超过“Http2MaxSettingsPerMinute”值。
另外,值得注意的是,微软指出,读取新增加的注册表值可能需要重启服务或服务器。
此前,攻击者曾在2016年7月至2017年3月期间,利用影响所有 IIS 发行版本中默认包括的 WebDAV 服务的 IIS 6.0 中的 0day 漏洞攻击 Windows 服务器。
本文由360代码卫士翻译自BleepingComputer
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
