九游老哥

English

清静产品与计划
行业解决计划
清静服务与运营
清静研究
相助同伴
手艺支持

基础设施清静
数据清静
云盘算清静
AI清静
工业互联网清静
物联网清静
信息手艺应用立异
所有产品
所有解决计划

基础设施清静

网络清静

清静治理

应用清静

终端清静

身份与会见治理

解决计划

CH

EN

清静产品与计划

基础设施清静网络清静清静治理应用清静终端清静身份与会见治理解决计划数据清静数据清静产品解决计划云盘算清静云盘算清静产品解决计划 AI清静 AI清静产品解决计划工业互联网清静工业互联网清静产品解决计划物联网清静物联网清静产品解决计划信息手艺应用立异信创类清静产品
行业解决计划

政府运营商金融能源交通企业科教文卫
清静服务与运营

基础服务清静咨询清静测试清静运维应急响应清静开发场景服务红蓝对抗重保支持数据清静服务DSS 勒索评估服务RPG 企业清静运营中心建设SOC 蓝军一体化平台NICP 自动化渗透测试工具EZ 清静运营服务九游老哥网站清静监测服务Websafe 九游老哥黑洞云洗濯服务 CCSS 九游老哥网站云防护服务 WCP 九游老哥威胁情报中心NTI 九游老哥科技威胁情报云端解决计划九游老哥科技威胁情报外地解决计划九游老哥威胁检测与响应服务MDR 九游老哥外部攻击面治理服务EASM 九游老哥轻量化渗透测试服务PTaaS 智慧都会清静运营智慧都会清静运营九游老哥云九游老哥云
清静研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2024年度报告清静通告威胁通告
相助同伴

相助同伴相助同伴动态成为相助同伴申请成为相助同伴
手艺支持

服务支持服务热线盟管家服务维保服务产品支持产品清静产品手册常见问题产品生命周期通告软件升级北京九游老哥公益基金会鲲鹏基金产品清静软件升级

返回列表

深入解读：Windows HTTP.sys远程代码执行误差跟踪希望

2015-04-17

宣布者：九游老哥科技

此次微软通告MS15-034 IIS7 http.sys误差，引来业界的关注，其震荡性不亚于Windows领域的心脏出血事务。九游老哥科技威胁响应中心启动紧迫响应机制，在4月15日、4月16日划分宣布紧迫通告及产品规则升级通告，受如下系统影响的用户还请尽快升级厂商的补丁及九游老哥科技产品规则包。

Microsoft Windows Server 2012 R2

Microsoft Windows Server 2012

Microsoft Windows Server 2008 R2 SP1

Microsoft Windows 8.1

Microsoft Windows 8

Microsoft Windows 7 SP1

http.sys误差影响规模

随着各方的深入剖析，各地区受Windows HTTP.sys误差影响的情形正在逐渐浮出水面。昨天的通告信息中提到Http.sys是Microsoft Windows处置惩罚HTTP请求的内核驱动程序，据九游老哥科技互联网广谱平台数据显示，全球安排IIS的系统数目或许有444万余，从现在受影响的IIS各版天职布统计数据来看，其中IIS 7.5安排量是首位，占比42.3%，也是本次追踪剖析的重点。

IIS 7.5 http.sys误差影响国家漫衍

在如下全球IIS7.5漫衍态势图中，可以看到美洲、欧洲、亚洲等国家受影响较量严重，其中美国、中国、英国及德国为受影响的浓密区域。

全球IIS7.5漫衍态势图

http.sys误差危害性剖析

许多大型企业或组织在应对http.sys误差的时间，往往需要接纳审慎的态度，关于应对步伐需要，并且团结自身的营业情形及网络情形，定制行动妄想，以阻止对营业系统造成损害，这就需要深入相识此次误差的原理，才华给出合适的计划。未知攻焉知防！下面临此误差的原理举行剖析，以便各人更好的明确和防御这一高危清静误差。

1、误差触发

凭证Pastebin上披露的PoC（http://pastebin.com/ypURDPc4），很容易结构出能触发BSOD的PoC，好比以下请求：

GET /welcome.png HTTP/1.1

Host: PoC

Range: bytes=12345-18446744073709551615

可以使装置有IIS 7.5的Windows 7 SP1系统BSOD。

2、误差原理

这里以Windows 7 SP1 X64系统上装置的IIS 7.5为例举行剖析，其内核的版本为6.1.7601.18409，HTTP.sys的版本为6.1.7601.17514。

对BSOD瓦解的现场举行剖析，发明是种种情形的内存过失，由此推测触发误差后可能造成了内存破损。对HTTP.sys的处置惩罚流程举行剖析、逐步排查，可以确定内存破损爆发在函数HTTP!UlBuildFastRangeCacheMdlChain中，挪用栈如下：

函数挪用栈

函数HTTP!UlBuildFastRangeCacheMdlChain用于天生响应报文的缓存MDL链，来形貌HTTP响应的状态行、头部与新闻体，链上的各MDL通过挪用nt! IoBuildPartialMdl来天生。

MSDN中对nt! IoBuildPartialMdl的说明如下：

IoBuildPartiaMdl

注重这里明确要求了由VirtualAddress与Length确定的区间必需是SourceMdl形貌的缓冲区的一个自区间，正是对此要求的违反导致了此误差中的内存破损。

第3次挪用nt! IoBuildPartialMdl来天生新闻体MDL时的参数如下：

九游老哥·(中国)俱乐部官方网站

SourceMdl = 0xfffffa801a38cb60

SourceMdl.VirtualAddress = 0xfffffa801ac94000

SourceMdl.ByteCount = 0x2d315

SourceMdl.ByteOffset = 0x0

TargetMdl = 0xfffffa801a2ed580

TargetMdl.VirtualAddress = 0xfffffa801ac97000

TargetMdl.ByteCount = 0xffffcfc7

TargetMdl.ByteOffset = 0x39

VirtualAddress = 0xfffffa801ac97039

Length = 0xffffcfc7

这里的Length是凭证HTTP请求新闻头部中的Range字段盘算获得的，历程如下：

首先，在HTTP!UlpParseRange中对Range字段举行剖析，获得RangeBegin、RangeEnd；

然后，盘算RangeLength = RangeEnd - RangeBegin + 1；

最后，将RangeLength截断为32位获得Length。

以PoC中的Range: bytes=12345-18446744073709551615为例：

RangeBegin = 12345 = 0x3039

RangeEnd = 18446744073709551615 = 0xffffffffffffffff

RangeLength = 0xffffffffffffffff - 0x00003039 + 1 = 0xffffffffffffcfc7

Length = 0xffffcfc7

显然由于Length超长而导致违反了nt! IoBuildPartialMdl的要求，进而造成内存破损。

3、限制条件

HTTP.sys中的一些校验步伐可能在进入HTTP!UlBuildFastRangeCacheMdlChain函数前将RangeLength修改为正当值，从而不会触发误差。

例如，在Windows 7 SP1 X64系统的IIS 7.5中，函数HTTP!UlAdjustRangesToContentSize会对RangeLength举行检查，并在须要时举行调解，如下：

当RangeBegin >= ContentLength时，移除对应的数据；

当RangeLength== -1时，RangeLength= ContentLength – RangeBegin；

当RangeEnd + 1 >= ContentLength时，RangeLength= ContentLength – RangeBegin；

因此，要坚持RangeLength不被修正而又能触发误差，必需要同时知足RangeEnd + 1 < ContentLength与RangeEnd > ContentLength，RangeEnd就只能为0xffffffffffffffff。

这样，RangeBegin就必需小于ContentLength，同时还不可为1（不然将使RangeLength = 0xffffffffffffffff – 1 + 1 = -1而导致RangeLength被修正）。

在其他版本的系统中可能会有更多的限制。

4、代码执行

从上述剖析可以看出，触发此误差可越界写数据而造成内存破损，理论上保存远程执行代码的可能性。可是越界所写数据的长度下限由ContentLength决议，通�；崾且桓鼋洗蟮闹刀⒆萑幌低惩呓�。纵然目的服务器上保存一些大的文件，可以用来越界写少量数据，所写数据内容与被笼罩目的也很难控制。因此，在现真相形中想要稳固的使用此误差来执行代码是很是难题的。

与http.sys误差攻击赛跑

通过前面的剖析可以看到，使用此误差的攻击大致会有两种形式：1种难度较量低，很容易导致服务器系统蓝屏；2若是攻击者的水平较量高，就可以准确的控制内存，通过远程执行代码，进而获得对系统的完全控制。尤其是面临高价值回报的攻击目的时，爆发的几率就更高了，企业或组织的IT职员需要尽快思量应对计划，阻止在清静防御步伐上线之前遭受攻击。这至少应该包括如下环节：

l 首先，应该马上获取误差通告及相关信息，相识此次误差的影响规模及深度。
l 再者，需要将通告息争读与自身现实IT营业系统状态相团结，周全判断出影响规模和水平（这包括对自身营业及对其客户的影响水平），这个判断历程，需要数据作为准确计划制订的事实依据，建议用户使用清静可靠的误差扫描工具，升级到新宣布的插件或规则库，对全网举行清静扫描，拿到一手数据后以便作为决议依据；
l 再次，IT职员需要从业务稳固性、危害水平和规模及主要性等多个维度综合思量，制订整改时间妄想表，权重由高到低依次对局部网络及主机装备或某营业系统装备睁开整改和加固事情（建议约请误差相关厂商及清静厂商一同加入）。

n 这个阶段需要清静厂商提供专业手艺协助，好比误差加固咨询、验证加固是否乐成；同时需要相识清静厂商的哪些装备已经宣布或即将宣布防护规则，升级后即可举行防护；

n 若是还没有接纳任何一款清静装备，就需要接纳暂时防护步伐，包括接纳误差相关厂商及清静厂商的相关计划，为整体加固争取时间，阻止在未加固整改乐成之前这个窗口时间遭到攻击并受到损失，这样的情形在相当多的0day事务中司空见惯；

n 另外，还需要误差相关厂商与清静厂商通力协作，相互相同误差原理和使用历程，举行较深条理的解读，才华够增进误差相关厂商的开发职员深入相识这个误差并凭证其自身情形举行代码层面的整改；

l 然后，在加固阶段性或整体完成后，需要再次举行完整扫描和人工验证整改加固效果，在手艺投入允许的条件下，建议您再次举行各方面日志剖析，视察整改加固时代有没有乐成的攻击到其系统造成其他损失；
l 最后，在整体响应事情完成后，举行总结和备案纪录。

IIS误差情形

前车之鉴后事之师，IIS由于使用量较大，泛起的问题不少，总是给人以不扎实的感受。着实在2014年，微软IIS就泛起了两个高危误差，其中第2个且现在厂商还没有提供补丁或者升级程序，我们建议使用这些IIS版本的用户随时关注厂商的主页以获取最新版本，并咨询九游老哥科技的服务职员！

1. 2014-11-11，IIS清静功效绕过误差（MS14-076）（CVE-2014-4078）

形貌：IIS 8.0/8.5版本的IP清静功效没有凭证"IP Address and Domain Restrictions"列表准确处置惩罚进站Web请求，这可使远程攻击者通过HTTP请求，使用此误差绕过目的规则.

2. 2014-04-02，CGI CRLF注入误差（CVE-2011-5279）

形貌：Windows NT及Windows 2000上IIS 4.x及5.x版本的CGI实现中保存CRLF注入误差，这可使远程攻击者通过CGI请求中的字符（新行）结构畸形请求修改情形变量，从而进一步执行恣意代码。

别的，IIS在其历史上也出过一再重大误差，九游老哥科技研究院特殊整理了这些信息，便于企业和组织的IT职员借鉴。以下加粗字体，为现在厂商还没有提供补丁或者升级程序的误差，请予以特殊关注：

1. 2010-09-14 Microsoft IIS FastCGI请求头远程溢出误差（MS10-065）（CVE-2010-2730）

形貌：关于启用了FastCGI功效的IIS服务器，远程攻击者可以通过提交特制的HTTP请求触发缓冲区溢出，导致执行恣意代码。攻击者可以远程执行恣意代码。

2. 2010-06-08 Microsoft IIS认证令牌处置惩罚远程代码执行误差（MS10-040）（CVE-2010-1256）

形貌：IIS Web服务器在剖析从客户端所吸收到了认证信息时没有准确地分派内存，远程攻击者可以通过发送特制的认证报文导致以事情历程标识（WPI）的上下文中执行代码。必需启用了Extended Protection for Authentication功效才可以使用这个误差（默以为禁用）。攻击者可以远程执行恣意代码。

3. 2009-10-13 Microsoft IIS FTPd服务NLST下令远程栈溢出误差（MS09-053）（CVE-2009-3023）

形貌：攻击者可以导致拒绝服务或远程执行恣意代码。Microsoft IIS内嵌的FTP服务器中保存栈溢出误差。若是远程攻击者对带有特制名称的目录宣布了包括有通配符的FTP NLST（NAME LIST）下令的话，就可以触发这个溢出，导致拒绝服务或执行恣意代码。仅在攻击者拥有写会见权限的情形下才可以建设带有特殊名称的目录。攻击者可以导致拒绝服务或远程执行恣意代码。

4. 2009-09-15 Microsoft IIS剧本文件名过失剖析误差

形貌：IIS在处置惩罚剧本文件名的剖析时保存误差，当文件名为[YYY].asp;[ZZZ].jpg形式时，IIS会自动以asp名堂来举行剖析，而当文件名为[YYY].php;[ZZZ].jpg形式时，IIS会自动以php名堂来举行剖析（其中[YYY]与[ZZZ]为可转变字符串）。远程攻击者可以使用此误差突破Web应用对上传文件类型的限制，在服务器上执行恣意剧本代码从而获取对服务器的控制。攻击者可以远程执行恣意代码。

5. 2009-06-09 Microsoft IIS 5.0 WebDAV绕过认证误差（MS09-020）（CVE-2009-1122）

形貌：IIS的WebDAV扩展没有准确解码特制请求的URL，导致WebDAV在处置惩罚该请求时应用不准确的设置。若是应用的设置允许匿名会见，则特制的请求可以绕过身份验证。请注重IIS在设置的匿名用户帐户的清静上下文中仍会处置惩罚该请求，因此此误差不可用于绕过NTFS ACL，文件系统ACL对匿名用户帐户强加的限制将仍然执行。攻击者可以绕过认证获得非授权会见。

6. 2009-06-09 Microsoft IIS WebDAV Unicode请求绕过认证误差（MS09-020）（CVE-2009-1535）

形貌：IIS的WebDAV功效在剖析URI并发送回数据时没有准确地处置惩罚Unicode令牌环，远程攻击者可以通过提交恶意HTTP GET请求绕过受口令�；さ奈募械娜现�，或在受口令�；さ�WebDAV目录中列出、上传或下载文件。攻击者可以绕过认证执行非授权操作。

7. 2008-02-12 Microsoft IIS ASP远程代码执行误差（MS08-006）（CVE-2008-0075）

形貌：IIS处置惩罚ASP网页输入的方法保存远程代码执行误差，允许攻击者向网站的ASP页面传送恶意输入。乐成使用这个误差的攻击者可以在IIS服务器上以WPI的权限（默认设置为网络服务帐号权限）执行恣意操作。攻击者可以远程执行恣意代码。

请一连关注威胁情报

九游老哥科技研究院会长年跟踪剖析这些误差，并将整理后的效果发送给您，便于您一连关注误差的生长态势，为企业及组织的清静计划提供数据及信息支持，若是您对我们提供的内容有任何疑问，或者需要相识更多的信息，可以随时通过在微博、微信中搜索九游老哥科技联系九游老哥，接待您的垂询！

威胁情报下载

深入解读：Windows HTTP.sys远程代码执行误差跟踪希望

<<上一篇

威胁响应：Windows HTTP.sys远程代码执行误差跟踪希望

>>下一篇

防护计划：Windows HTTP.sys远程代码执行误差防护

?

您的联系方法

购置热线

提交项目需求

接待加入九游老哥科技，成为我们的相助同伴！

*请形貌您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方法

*姓名
*联系电话
*邮箱
*职务
*公司
*都会
*行业
*验证码
提交到邮箱

九游老哥·(中国)俱乐部官方网站

九游老哥·(中国)俱乐部官方网站

服务支持

智能客服

智能客服

购置/售后手艺问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

点击进入

支持热线

支持热线

400-818-6868

九游老哥科技社区

九游老哥科技社区

资料下载|在线问答|手艺交流

点击进入

信息清静

网站地图| 执法声明| 投资者关系

关于九游老哥: 公司先容; 公司声誉; 九游老哥书橱; 九游老哥新闻; 事情时机

怎样购置: 提交项目需求; 请求回电; 购置热线

联系九游老哥: 公司总部; 分支机构; 全球分支机构

清廉建设和举报: 举报说明; 举报奖励; 包管制度

快速链接: 九游老哥云; 九游老哥威胁情报中心NTI; TechWorld手艺嘉年华; 北京九游老哥公益基金会; 手艺博客; 乐成案例

微博

微信

B站

抖音

视频号

视频号

视频号

服务热线

400-818-6868

服务时间

7*24小时

? 2026 NSFOCUS 九游老哥科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证110355号