HTTP.sys 远程执行代码漏洞WAF应急响应

安恒信息

发布于 2018-04-10 15:44:50

8550

发布于 2018-04-10 15:44:50

4月14日微软发布了一个针对IIS服务器的远程代码执行漏洞补丁，此漏洞危害非常大，远程执行代码漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中，当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此漏洞。成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码，若要利用此漏洞，攻击者必须将经特殊设计的 HTTP 请求发送到受影响的系统。

4月16日安恒立即启动了紧急预案，安全研究院团队对此漏洞进行了深入分析，并将研究成果输出到WAF团队，为避免用户在打微软补丁时对业务产生影响，WAF团队第一时间发布了虚拟修复补丁，并同步到云端规则升级服务器，用户可采取手动或自动连接到云端的升级方式进行更新防护，安恒公司提醒IIS7用户第一时间进行修复，以下是该漏洞的防护细节：

1、使用工具构造好的数据包进行发送：