HTTP.sys远程执行代码漏洞

styxmx

　　远程执行代码漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中，当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此漏洞。
　　http://bbs.safedog.cn/thread-78756-1-1.html

HTTP.SYS远程执行代码漏洞分析 （MS15-034 ）

写在前言：       在2015年4月安全补丁日，微软发布了11项安全更新，共修复了包括Microsoft Windows、Internet Explorer、Office、.NET Framework、Server软件、Office Services和Web Apps中存在的26个安全漏洞。其中就修复了HTTP.sys 中一处允许远程执行代码漏洞，编号为：CVE-2015-1635（MS15-034 ）。目前服务器安全狗已经更新了安全补丁，建议及时修复安全狗提示给您的漏洞信息，以免漏洞被利用遭到攻击。 值得注意的经验是，每个函数名中都有’range’。 这不禁让我想起了之前Apache HTTPd ‘Range’ 头漏洞, （参见RFC2616章14.35节）。 漏洞数据由 ‘range’ 头带入已经毋庸置疑。 下面要做的是深入研究其产生的原因。如IDA 自动分析出的的HTTP!UlpParseRange 函数的调用关系图所示： 这里我使用Vmware搭建了一个未打补丁的Windows 7 SP1 作为测试目标，并且启用了内核调试器, 对所有关键函数设置断点，收集关键数据和内核信息。 在断点被触发之后, 堆栈信息会被打印出来, 接着程序继续执行.  我们使用了之前的Apache Rangedos 测试样本针对目标服务器做了攻击性测试, 调试器捕获到了下面这些信息： 标准的Apache RangeDos 脚本确实产生了效果，下面让我们更进一步的来看一下 HTTP!UlpParseRange 函数的实现: 在旧代码的调试中发现函数在此处调用了一个很大的整数。 接着让我们在未打补丁的模块上下断点。 非常明显了。 EAX 是0x7A69 (Poc中设置的range上限 31337), EDI 是0x539（Poc中设置的range下限 1337）。 在老代码中，如果我们的下限是0，则上限不会做如此的改变。在上限非常大的时候(整数临界值), 我们加1, 就会发生整数溢出。 HexRays 的输出更加明了: *(_QWORD *)v18 = __PAIR__(v22, v23) – __PAIR__(v21, v20) + 1.让我们来试试看。 这时候可以看到上限已经非常的大了(0xFFFFFFFF)。代码接着执行。 We can see that EAX is predictably small now.  Now that we have some indicationof what the pre-patch block is doing, let’s look at the patch again. 最后EAX在加1之后溢出变成了0. 让我们再看看打过补丁的模块: 使用调试器动态改变跳转条件, 我们可以让服务器返回下面这个有趣的页面(手工内存补丁成功)： 打完补丁以后当你提交了包含非法range头字段的http包的时候, 系统会报上面的错误。 如果没打补丁你看到的就是下面这样: 这就是判断是否打了补丁的关键. 打了补丁:  HTTP!RtlULongLongAdd在遇到非法range头的时候会返回一个 STATUS_INVALID_PARAMETER 错误, 接着HTTP!UlpParseRang 产生一个”Invalid Header” 错误信息给客户端.   打了补丁:  HTTP!UlpParseRange 返回 0, 接着产生一个 “Requested Range Not Satisfiable”.错误信息给客户端. 2、漏洞测试脚本:     #sutff.py import socket import random ipAddr = "这里填入检测IP地址" hexAllFfff = "18446744073709551615" req1 = "GET / HTTP/1.0\r\n\r\n" req = "GET / HTTP/1.1\r\nHost: stuff\r\nRange: bytes=0-" + hexAllFfff + "\r\n\r\n" print " Audit Started" client_socket = socket.socket(socket.AF_INET, socket.SOCK_STREAM) client_socket.connect((ipAddr, 80)) client_socket.send(req1) boringResp = client_socket.recv(1024) if "Microsoft" not in boringResp: print " Not IIS" exit(0) client_socket.close() client_socket = socket.socket(socket.AF_INET, socket.SOCK_STREAM) client_socket.connect((ipAddr, 80)) client_socket.send(req) goodResp = client_socket.recv(1024) if "Requested Range Not Satisfiable" in goodResp: print "[!!] Looks VULN" elif " The request has an invalid header name" in goodResp: print " Looks Patched" else: print " Unexpected response, cannot discern patch status" 一个简单的检测方法: curl http://xxx.com/ -H "Host: irrelevant" -H "Range: bytes=0-18446744073709551615"|grep "range is not satisfiable" 有发现 返回”range is not satisfiable”就说明有漏洞了. 　　 3、修复方法 （1）下载安装最新版服务器安全狗 选择服务器优化-->系统漏洞修复-->修复漏洞. （2）开启网站安全狗实时防护功能，实时防护服务器网站安全 安全狗下载地址：www.safedog.cn 微软报告: https://technet.microsoft.com/en-us/library/security/MS15-034 相关连接 http://blog.beyondtrust.com/the-delicate-art-of-remote-checks-a-glance-into-ms15-034