Windows HTTP.sys 远程代码执行漏洞 (CVE-2015-1635)(MS15-034)

危险等级：☆☆☆☆☆

1 漏洞描述

Http.sys是Microsoft Windows处理HTTP请求的内核驱动程序。

Microsoft Windows 7 SP1, Windows Server 2008 R2 SP1, Windows 8, Windows 8.1, and Windows Server 2012 Gold 以及 R2 版本中的HTTP.sys存在远程代码执行漏洞，HTTP.sys在解析请求的实现上存在缺陷，远程攻击者可通过发送精心构造的请求，导致任意代码行。

2 漏洞标识符

CVE ID: CVE-2015-1635

Bugtraq ID: 74013

3 影响系统

受影响系统：

Microsoft Windows Server 2012 R2

Microsoft Windows Server 2012

Microsoft Windows Server 2008 R2

Microsoft Windows 8.1

Microsoft Windows 8

Microsoft Windows 7

4 专家建议

微软在2014年4月的补丁日进行了多个漏洞修补，涉及到Windows、OFFICE、IE、IIS等多个环节，本次补丁数量显著高于平均水平。安天安全研究与应急处理中心通过补丁相关信息研判，认为其中有多个OFFICE和IE漏洞可能与近期各种攻击相关，而其中编号为MS15-034的IIS远程执行漏洞极为值得高度关注。

IIS是微软提供的WEB服务程序，全称是Internet Information Services，其可以提供HTTP、HTTPS、FTP等相关服务，同时支持ASP、JSP等WEB端脚本，有比较广泛的应用。

从MS15-034的等级和相关说明来看，攻击者可以获得远程具有IIS服务的主机执行代码和提权能力，其针对了驱动HTTP.SYS实现特殊构造的HTTP请求，就可以在System账户账户上下文中执行任意代码。据悉，该漏洞利用代码已在国外技术网站Pastebin上公开，攻击者只要发送恶意数据包到安装IIS的服务器，就可导致系统蓝屏崩溃。

这一漏洞影响的版本包括：

Microsoft Windows Server 2012 R2

Microsoft Windows Server 2012 R2（服务器核心安装）

Microsoft Windows Server 2012

Microsoft Windows Server 2012（服务器核心安装）

Microsoft Windows Server 2008 R2（用于基于 x64 的系统）Service Pack 1

Microsoft Windows Server 2008 R2（用于基于 Itanium 的系统）Service Pack 1

Microsoft Windows Server 2008 R2（用于基于 x64 的系统）Service Pack 1（服务器核心安装）

Microsoft Windows Server 2008 SP2

Microsoft Windows 8.1

Microsoft Windows 8

Microsoft Windows 7

二、解决办法

下载微软官方补丁并安装：

官方补丁下载：https://support.microsoft.com/zh-cn/kb/3042553

临时解决办法：

如果您不能立刻安装补丁或者升级，建议您采取以下措施以降低威胁：

* 禁用IIS内核缓存
在打完微软提供的补丁后，必须重启修复才会生效，否则依然会面临威胁。

附件：参考资料和补丁编号

微软官方信息：https://technet.microsoft.com/zh-CN/library/security/ms15-034.aspx

官方补丁下载：https://support.microsoft.com/zh-cn/kb/3042553

360公司，【安全告警】IIS远程执行代码漏洞（CVE-2015-1635）：http://bobao.360.cn/news/detail/1435.html?from=groupmessage&isappinstalled=0

漏洞在线检测地址：https://www.vulbox.com/lab/

Freebuf，IIS最新高危漏洞（CVE-2015-1635，MS15-034）POC及在线检测源码：http://www.freebuf.com/articles/system/64185.html

绿盟科技：http://www.nsfocus.net/vulndb/29720