AG公司

English

清静产品与计划
行业解决计划
清静服务与运营
清静研究
相助同伴
手艺支持

基础设施清静
数据清静
云盘算清静
工业互联网清静
物联网清静
信息手艺应用立异
所有产品
所有解决计划

基础设施清静

网络清静

清静治理

应用清静

终端清静

身份与会见治理

解决计划

CH

EN

清静产品与计划

基础设施清静网络清静清静治理应用清静终端清静身份与会见治理解决计划数据清静数据清静产品解决计划云盘算清静云盘算清静产品解决计划工业互联网清静工业互联网清静产品解决计划物联网清静物联网清静产品解决计划信息手艺应用立异信创类清静产品
行业解决计划

政府运营商金融能源交通企业科教文卫
清静服务与运营

基础服务清静咨询清静测试清静运维应急响应清静开发场景服务红蓝对抗重保支持数据清静服务DSS 勒索评估服务RPG 企业清静运营中心建设SOC 蓝军一体化平台NICP 自动化渗透测试工具EZ 清静运营服务 AG公司网站清静监测服务Websafe AG公司黑洞云洗濯服务 CCSS AG公司网站云防护服务 WCP AG公司威胁情报中心NTI AG公司科技威胁情报云端解决计划 AG公司科技威胁情报外地解决计划 AG公司威胁检测与响应服务MDR AG公司外部攻击面治理服务EASM AG公司轻量化渗透测试服务PTaaS 智慧都会清静运营智慧都会清静运营 AG公司云 AG公司云
清静研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2024年度报告清静通告威胁通告
相助同伴

相助同伴相助同伴动态成为相助同伴申请成为相助同伴
手艺支持

服务支持服务热线盟管家服务维保服务产品支持产品清静产品手册常见问题产品生命周期通告软件升级北京AG公司公益基金会鲲鹏基金产品清静软件升级

返回列表

防护计划：Windows HTTP.sys远程代码执行误差防护

2015-04-21

宣布者：AG公司科技

执行摘要

4月14日，微软通告MS15-034/CVE-2015-1635 IIS7 http.sys误差，AG公司科技威胁响应中心随即启动应急机制，应急响应事情随即启动。

1 15日夜，宣布高危误差紧迫通告，支持信息来自误差的使用机制剖析及POC验证事情，第一时间见告客户关注；

2 16日，宣布产品规则升级通告，AG公司科技NIPS、WAF、RSAS、WVSS、NF等产品升级相继停当，客户通过在线及离线升级的要领，即可举行防护；

3 17日，宣布误差深入剖析，大型企业及组织客户可以通过这些信息定制自己的防御计划。在线误差检测引擎停当。

4 21日，我们回首http.sys误差的信息要点，从http.sys误差防护的角度举行总结，为各人制订防御计划提供增补信息。

http.sys误差回首

4月14日，微软通告了 https.sys误差，即Windows http.sys远程代码执行高危误差（MS15-034），CVE编号CVE-2015-1635.此误差由于具备如下的4个特点，一经宣布，迅速引发攻击者的关注，在误差宣布的第2天，Twitter及新浪微博上泛起大宗误差信息，一些匿名的POC及可远程触发操作系统蓝屏的攻击代码最先撒播。

1. Http.sys是处置惩罚HTTP请求的内核驱动程序，处于咽喉要道，一旦被使用后患无限；

2. 该误差很容结构特定的http请求，导致攻击目的蓝屏，这形式常见于不正当商业竞争；

3. 一旦被使用乐成，可以获得很高的系统权限，可在System帐户上下文中执行恣意代码；

4. IIS在全球的安排总量凌驾444万，但经常是未经加固或防护实力薄弱

受此误差影响的软件及系统包括：

Microsoft Windows Server 2012 R2

Microsoft Windows Server 2012

Microsoft Windows Server 2008 R2 SP1

Microsoft Windows 8.1

Microsoft Windows 8

Microsoft Windows 7 SP1

AG公司科技与误差相关厂商长年坚持亲近相助关系。AG公司科技威胁响应中心在获知相关信息后，随即启动应急机制，相关事情随即启动。

受影响区域漫衍

阻止2015年4月15日，据AG公司科技互联网广谱平台数据显示，全球安排IIS的系统数目或许有444万余。以占比最大的IIS 7.5（42.3%）为例，美国、中国、英国及德国为受影响的浓密区域，其中中国占比16.4%，II7.5的安排量凌驾35万，这也是此次误差云云受到关注的缘故原由之一。

IIS 7.5漫衍态势图

http.sys误差剖析

2015年4月15日夜，AG公司科技威胁响应中心在获取http.sys误差影响规模数据的同时，也在迅速睁开误差的剖析事情，通过重现误差的攻击历程，剖析其事情原理，得以清晰识别及检测该误差要领，在准确界说其威胁定级后，随即向我们的客户发出高危误差紧迫通告。

http.sys蓝屏

凭证Pastebin上披露的PoC，很容易结构出能触发蓝屏（BSOD）的PoC，好比以下请求：

1 GET /welcome.png HTTP/1.1

2 Host: PoC

3 Range: bytes=12345-18446744073709551615

可以使装置有IIS 7.5的Windows 7 SP1系统BSOD。

http.sys误差使用

对BSOD瓦解的现场举行剖析，发明是种种情形的内存过失，由此推测触发误差后可能造成了内存破损。对HTTP.sys的处置惩罚流程举行剖析、逐步排查，可以确定内存破损爆发在函数HTTP!UlBuildFastRangeCacheMdlChain中，函数HTTP!UlBuildFastRangeCacheMdlChain用于天生响应报文的缓存MDL链，来形貌HTTP响应的状态行、头部与新闻体，链上的各MDL通过挪用nt! IoBuildPartialMdl来天生[3]。

触发此误差可越界写数据而造成内存破损，理论上保存远程执行代码的可能性。可是越界所写数据的长度下限由ContentLength决议，通�；崾且桓鼋洗蟮闹刀⒆萑幌低惩呓�。纵然目的服务器上保存一些大的文件，可以用来越界写少量数据，所写数据内容与被笼罩目的也很难控制。因此，在现真相形中想要稳固的使用此误差来执行代码是很是难题的，但攻击者要想使用此误差使攻击目的蓝屏，是很是简朴的事情！

正是思量到蓝屏的因素，AG公司科技威胁响应中心在对外宣布误差检测要领的时间尤为审慎，阻止给使用这些检测要领的用户造成不须要的二次危险，经由重复验证清静可靠之后，才将检测要领投入云端检测系统。

http.sys误差检测

面临云云严肃的形式，剖析职员迅速将经由清静验证后的检测要领向云端、产品端及服务端转达，并建议用户尽快对其营业情形举行一次周全的误差检测，以便可以尽快拿到第一手数据，为后续制订误差防护计划及执行步伐提供数据支持及决议依据。http.sys误差的检测方法可以使用三种方法，云端、产品端及剧本工具。

http.sys误差云端检测

4月17日晚20:00，AG公司科技客户自助门户系统Portal宣布http.sys误差检测引擎，为Windows HTTP.sys远程代码执行误差(CVE-2015-1635)应急扫描支持，阻止至4月19日破晓3:00，已有348家客户，共提交并扫描域名数目2086个，其中9家客户保存Windows HTTP.sys远程代码执行误差，响应团队随即通知客户。同时AG公司科技误差扫描产品RSAS、AAS已在第一时间宣布了检测插件升级包，随后NF、IDS、IPS也在1天内宣布了产品规则升级包。

客户	数目	域名	数目
扫描客户	348	扫描域名	2086
保存IIS误差客户	9	保存IIS误差域名	10
不保存IIS误差客户	339	不保存IIS误差域名	1541

现在您随时可以使用这个自助系统，对营业情形举行扫描，以便确认是否保存该误差，扫描请点击：https://portal.nsfocus.com/vulnerability/list/ IIS服务器高危误差扫描

误差确认 当扫描效果信息中泛起信息“您的检测目的保存此误差”，即可确认目今营业情形中保存该误差，建议您尽快制订防护妄想，以阻止系统在获得加固前遭受攻击。

IIS服务器高危误差确认

http.sys误差产品端检测

4月16日中午，AG公司科技各产品针对http.sys的规则升级包及插件升级包所有停当，并在官方宣布产品升级通告，同时向服务职员发送相关信息。这里将主要产品升级版本信息摘录如下，请宽大用户尽快审查所使用产品的版本的信息，更多详细信息请盘问：http://update.nsfocus.com/

http.sys误差防护规则升级包				http.sys误差防护插件升级包
产品	版本号	升级时间			产品	版本号	升级时间
NF 6.0.1	6.0.1.496	2015/4/16	12:00:00		RSAS 6.0	V6.0R02F00.0108	2015/4/16	18:00:00
NF 6.0.0	5.6.7.496	2015/4/16	12:00:00		RSAS 5.0	051347	2015/4/16	19:00:00
IDS 5.6.9	5.6.9.12244	2015/4/16	13:00:00		RSAS-AAS 5.0	051130	2015/4/17	15:00:00
IDS 5.6.8	5.6.8.496	2015/4/16	11:00:00		WVSS 6.0	V6.0R02F00.28	2015/4/16	18:00:00
IDS 5.6.7	5.6.7.496	2015/4/16	11:00:00
IDS 5.6.6	5.6.0.422	2015/4/16	11:00:00
IPS 5.6.9	5.6.9.12244	2015/4/16	11:00:00
IPS 5.6.8	5.6.8.496	2015/4/16	11:00:00
IPS 5.6.7	5.6.7.496	2015/4/16	11:00:00
IPS 5.6.6	5.6.0.422	2015/4/16	11:00:00
WAF 6.0.4	6.0.4.1.30345	2015/4/16	11:00:00

若是您的营业情形中已经安排了相关误差扫描系统，请将误差扫描系统升级到最新版本后，尽快最先对营业系统举行扫描，尤其是受此次http.sys误差影响的营业系统平台举行一次误差扫描。这里以AG公司远程清静评估系统（NSFOCUS Remote Security Assessment System ，简称：NSFOCUS RSAS）为例，当您安排该产品后，请先对产品举行升级：

? RSAS v6系列产品升级到系统插件版本V6.0R02F00.0108；
? RSAS v5系列产品升级到系统版本为051347；
? AAS系列产品升级到系统版本为051130

误差确认 若是您的误差扫描效果包括下图误差，特殊是包括带有“【原理扫描】”字样的误差时，即可确认目今情形中保存该误差，建议您尽快制订防护妄想，以阻止系统在获得加固前遭受攻击。

AG公司(中国集团)·有限公司官网

http.sys误差离线检测

若是您还没有安排误差扫描产品，又或者您的营业系统现在还不适合举行如上检测方法，还可以接纳离线检测的方法，即接纳http.sys POC验证。这里提供两种形式，包括Python剧本及curl工具。

小贴士：

这里提醒各人，近期受此误差影响，大宗误差检测剧本及工具频出，若是您需要获取这些检测工具，需要从可靠途径获取，阻止被植入恶意代码，以免前门拒狼后门进虎！

使用python剧本检测 将下列代码写入.py文件执行即可。

1 '''

2 此剧本仅适用于检测IIS服务器是否保存Http.sys 处置惩罚 Range 整数溢出误差，不适用于攻击使用。

3 '''

4 import socket

5 import random

6

7 ipAddr = "" #添加目的ip

8 hexAllFfff = "18446744073709551615"

9

10 req1 = "GET / HTTP/1.0 "

11 req = "GET / HTTP/1.1 Host: stuff Range: bytes=0-" + hexAllFfff + " " #主要测试代码

12

13 print "[*] Audit Started"

14 client_socket = socket.socket(socket.AF_INET socket.SOCK_STREAM)

15 client_socket.connect((ipAddr 80)) #若是web服务器开启非80端口，可在此处修改为准确端口

16 client_socket.send(req1)

17 boringResp = client_socket.recv(1024)

18 if "Microsoft" not in boringResp: #检测目今web服务是否为IIS web服务器

19 print "[*] Not IIS"

20 exit(0)

21 client_socket.close()

22 client_socket = socket.socket(socket.AF_INET socket.SOCK_STREAM)

23 client_socket.connect((ipAddr 80))

24 client_socket.send(req)

25 goodResp = client_socket.recv(1024)

26 if "Requested Range Not Satisfiable" in goodResp: #通过审查服务器返回判断是否保存该误差，凭证打印出的效果判断：

27 #Looks VULN为保存该误差，Looks Patched为已打补丁，其他情形会返回Unexpected response

28 print "[!!] Looks VULN"

29 elif " The request has an invalid header name" in goodResp:

30 print "[*] Looks Patched"

31 else:

32 print "[*] Unexpected response cannot discern patch status"

使用curl工具检测

1 $curl -v 192.168.174.140 -H "Host: irrelevant" -H "Range: bytes=0-18446744073709551615"

误差确认 保存此误差截图，如服务器返回Requested Range Not Satisfiable，则说明保存此误差。建议您尽快制订防护妄想，以阻止系统在获得加固前遭受攻击。

CURL工具检测http.sys误差

使用发包工具结构http请求包检测 以fiddler工具为例，结构如下图的请求包：

1 GET http://192.168.174.145/ HTTP/1.1

2 Host: 192.168.174.145

3 Range: bytes=0-18446744073709551615

4 Connection: keep-alive

5 Cache-Control: max-age=0

6 Accept: text/htmlapplication/xhtml+xmlapplication/xml;q=0.9image/webp*/*;q=0.8

误差确认 若是收到服务器返回包如下则说明保存此误差。建议您尽快制订防护妄想，以阻止系统在获得加固前遭受攻击。

http.sys误差防护

经由上面的误差检测办法后，若是确认您的营业情形中保存http.sys误差，那么就需要尽快制订并启动加固计划，这些加固从误差补丁最先，到产品防护，到整体防护，逐步推进。

误差加固

使用IIS的用户，可以通过Windows Update的方法获得对应的KB3042553热修补补丁，建议用户开启自动更新服务以实时装置最新补丁，相关通告请见：

http.sys误差补丁通告：http://technet.microsoft.com/security/bulletin/MS15-034

若是您的营业系统暂时还无法升级补丁，那么可通过禁用IIS 内核缓存来暂时缓解此误差的危险，但需要注重这可能会导致IIS性能下降，详细的执行要领可以参考：

http.sys误差缓解计划：https://technet.microsoft.com/zh-cn/library/cc731903(v=ws.10).aspx

IIS加固

虽然IIS7中http.sys已经自力出来成为系统级驱动程序，但以史为鉴，建议用户在装置补丁的同时也需要思量IIS加固事项，详细的最佳实践请参考：

IIS7加固计划： https://technet.microsoft.com/zh-cn/library/cc731278(WS.10).aspx

产品防护

犹如木桶效应一样平常，营业情形的加固只是依赖于误差加固是不敷的，整体清静品级的提升以及应对未来的攻击，清静产品是必不可少的一环，将Web系统置于DMZ区域并加以多产品的整体防护，是我们推荐的做法。在如下安排情形中，以AG公司Web应用防火墙（Web Application Firewall，简称WAF）为例，对营业系统安排WAF能够从客户资产的视角，实验多种基于规则的检测，并实验多条理的清静机制，随时与云端服务协作，天生响应的Web清静解决计划，从而有用应对误差防护使命。

请所有使用AG公司产品的用户尽快升级产品规则。AG公司科技已在软件升级通告中提供规则升级包，规则可以通过产品界面的在线升级举行。若是您的营业系统暂时还无法升级规则包，那么可以在软件升级页面中，找到对应的产品，通过下载升级包，以离线方法举行升级。相关信息请会见：

? 清静产品先容：http://www.nsfocus.com.cn/1_solution/1_2_1.html

? 产品升级通告：http://update.nsfocus.com/

营业清静加固

在一些大型的企业或组织中，http.sys误差的防护或许并不可快速执行，其缘故原由在于：1需要思量营业系统的可用性；2需要思量整体实验计划制订；3需要尽可能降低加固行动对营业情形的二次危险。这就需要企业自身、误差相关厂商、清静厂商一起协作才华形成快速、清静、有用的行动计划，阻止营业系统在获得清静加固之前遭受攻击。在此次应急响应历程中，AG公司科技的服务职员向客户建议行动计划应该且至少包括如下环节：

? 首先，应该第一时间获取误差通告及相关信息，相识此次误差的影响规模及深度。

? 再者，需要将通告息争读与自身现实IT营业系统状态相团结，周全判断出影响规模和水平（这包括对自身营业及对其客户的影响水平），这个判断历程，需要数据作为准确计划制订的事实依据，建议用户使用清静可靠的误差扫描工具，升级最新宣布的插件或规则库，对全网举行清静扫描，拿到第一手数据后以便作为决议依据；

? 再次，IT职员需要从营业稳固性、危害水平和规模及主要性等多个维度综合思量，制订整改时间妄想表，权重由高到低依次对局部网络及主机装备或某营业系统装备睁开整改和加固事情（建议约请误差相关厂商及清静厂商一同加入）。

? 这个阶段需要清静厂商提供专业手艺协助，好比误差加固咨询、验证加固是否乐成；同时需要相识清静厂商的哪些装备已经宣布或即将宣布防护规则，升级后即可举行防护；

? 若是还没有接纳任何一款清静装备，就需要接纳暂时防护步伐，包括接纳误差相关厂商及清静厂商的相关计划，为整体加固争取时间，阻止在未加固整改乐成之前这个窗口时间遭到攻击并受到损失，这样的情形在相当多的0day事务中司空见惯；

? 另外，还需要误差相关厂商与清静厂商通力协作，相互相同误差原理和使用历程，举行较深条理的解读，才华够增进误差相关厂商的开发职员深入相识这个误差并凭证其自身情形举行代码层面的整改；

? 然后，在加固阶段性或整体完成后，需要再次举行完整扫描和人工验证整改加固效果，在手艺投入允许的条件下，建议您再次举行各方面日志剖析，视察整改加固时代有没有乐成的攻击到其系统造成其他损失；

? 最后，在整体响应事情完成后，举行总结和备案纪录。

威胁情报

以后次http.sys误差情形可以看到，无论误差原理怎样，无论误差防护计划怎样实验，要害在于尽可能快的相识到误差信息及相关的情报，以便尽可能快的启动应急响应机制。这无论关于解决古板清静或者APT攻击来说都是主要的手段之一，威胁情报的获取及响应都体现了防御能力的建设水平，威胁情报服务系统至少包括了威胁监测及响应、数据剖析及整理、营业情报及交付、危害评估及咨询、清静托管及应用等各个方面，涉及研究、产品、服务、运营及营销的各个环节，AG公司科技通过研究、云端、产品、服务等立体的应急响应系统，向企业和组织实时提供威胁情报并一连举行后续服务，包管客户营业的顺畅运行。

若是您对我们提供的内容有任何疑问，或者需要相识更多的信息，可以随时通过在微博、微信中搜索AG公司科技联系AG公司，接待您的垂询！

威胁情报下载

防护计划：Windows HTTP.sys远程代码执行误差防护

<<上一篇

深入解读：Windows HTTP.sys远程代码执行误差跟踪希望

>>下一篇

紧迫通告：相册木马跟踪剖析

?

您的联系方法

购置热线

提交项目需求

接待加入AG公司科技，成为我们的相助同伴！

*请形貌您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方法

*姓名
*联系电话
*邮箱
*职务
*公司
*都会
*行业
*验证码
提交到邮箱

AG公司(中国集团)·有限公司官网

AG公司(中国集团)·有限公司官网

服务支持

智能客服

智能客服

购置/售后手艺问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

点击进入

支持热线

支持热线

400-818-6868

AG公司科技社区

AG公司科技社区

资料下载|在线问答|手艺交流

点击进入

信息清静

网站地图| 执法声明| 投资者关系

关于AG公司: 公司先容; 公司声誉; AG公司书橱; AG公司新闻; 事情时机

怎样购置: 提交项目需求; 请求回电; 购置热线

联系AG公司: 公司总部; 分支机构; 全球分支机构

清廉建设和举报: 举报说明; 举报奖励; 包管制度

快速链接: AG公司云; AG公司威胁情报中心NTI; TechWorld手艺嘉年华; 北京AG公司公益基金会; 手艺博客; 乐成案例

服务热线

400-818-6868

服务时间

7*24小时

? 2025 NSFOCUS AG公司科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证110355号