微软警告：Windows 服务器易受 IIS 资源耗尽 DoS 攻击

聚焦源代码安全，网罗国内外最新资讯！

编译：360代码卫士团队

微软在安全响应中心发布安全通告称，运行互联网信息服务(IIS)的Windows Server和Windows 10服务器易受拒绝服务(DOS)攻击。

确切地说，所有运行Windows Server 2016、Windows Server版本1709、Windows Server版本1803以及Windows 10（版本1607、1703、1709和1803）的Windows 10均易遭该DoS攻击。

微软ADV190005安全通告指出，该漏洞可导致潜在的远程攻击者通过利用一个IIS资源耗尽bug触发DoS条件。该bug“能够临时导致系统CPU使用率蹿升至100%，直到恶意链接遭IIS杀死。”

恶意人员能够发送恶意构造的HTTP/2请求，启动针对易受攻击的Windows服务器的DoS攻击。

微软在安全通告中指出，目前尚未有针对该漏洞（由F5 Networks公司研究员Gal Goldshtein报告）的缓解措施或变通措施。微软建议所有用户安装如下表所列的二月份发布的非安全类安全更新。

正如微软在ADV190005安全通告中详述的那样：“HTTP/2标准允许客户端明确具有任意SETTINGS参数的任意数量的SETTINGS框架。在某些情况下，过度设置可引发服务不稳定且导致CPU使用临时剧增，直到出现连接超时且连接关闭。”

作为缓解措施，微软安全团队“增加了对请求中HTTP/2 SETTINGS数量的阈值进行定义的能力”，说明IIS管理员在评估系统环境和HTTP/2协议要求后必须设置的阈值级别，因为微软不会预配置。

为了设置这些限制，微软在易受攻击的Windows 10版本中添加了如下注册表项。

Path: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters

Name: Http2MaxSettingsPerFrame

Type: DWORD

Data: Supported min value 7 and max 2796202. Out of range values trimmed to corresponding min/max end value.

Path: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters

Name: Http2MaxSettingsPerMinute

Type: DWORD

Data: Supported min value 7. Smaller value trimmed to the min value.

一旦在运行IIS的Windows系统上设置阈值后，连接将立马被杀死：

如单个Setting框架包含的设置参数多于“Http2MaxSettingsPerFrame”值。

如果一分钟内收到的多个Settings框架中包含的设置参数数超过“Http2MaxSettingsPerMinute”值。

另外，值得注意的是，微软指出，读取新增加的注册表值可能需要重启服务或服务器。

此前，攻击者曾在2016年7月至2017年3月期间，利用影响所有IIS发行版本中默认包括的WebDAV服务的IIS 6.0中的0day漏洞攻击Windows服务器。

https://www.bleepingcomputer.com/news/security/windows-servers-vulnerable-to-iis-resource-exhaustion-dos-attacks/