等待是最艰难的部分：紫队视角下的MS15-034

Mick Douglas

当前状态：

MS15-034存在远程拒绝服务（DoS）漏洞
远程利用代码似乎即将发布…也许。请保持关注。

蓝队行动指令：

立即打补丁。请立即执行。
非常仔细地关注您的IIS日志，以识别正在攻击或尝试DoS的系统。您正在被分析。一旦可用的利用代码发布，易受攻击的服务器将成为攻击目标。

红队行动指令：

保持警惕。
帮助向组织中不理解此漏洞严重性的人员解释风险。

详细内容：

尽管微软在安全方面声誉不佳，但在过去几年中，微软在安全方面做得非常出色。距离我们上次公开可用的Windows远程代码执行漏洞利用已经大约七年了…而MS15-034似乎很可能结束这一连胜。

这是一种针对IIS和其他使用HTTP.sys的Web服务的攻击。攻击者通过发送特制的HTTP请求来利用此漏洞。在撰写本文时，大多数针对此漏洞发布的攻击工具“仅仅”通过崩溃监听Web服务或服务器操作系统来创建拒绝服务。由于“可用性”是CIA（机密性、完整性和可用性）三要素的一部分，这是一个大问题…但情况可能会变得更糟。

此攻击的新变种似乎正在超越简单的DoS范畴，而是直接将可执行代码注入内存。提示：这并不好。更糟糕的是，此代码将以系统权限运行。在Windows系统上，没有比这更高级别的访问权限。让互联网上的随机人员在您的服务器上运行他们选择的代码可能不是一件好事。我们BHIS鼓励您不要采取《欲望号街车》中Blanche duBois的方法：“我一直依赖陌生人的善意。”

使这一问题如此严重的原因是，攻击Web服务是对这些系统存在理由的攻击。这意味着您的外部防火墙必须允许访问正是易受攻击的服务。糟糕！

由于此漏洞是一个如此诱人的目标，每个有一点漏洞开发技能的人都在狂热地研究它。不仅这场竞赛的获胜者将获得持久的声誉和财富，还有大量的金钱在赌注中。如果有一件事我们从电影中学到，那就是爱征服一切。等等，不是那个。贪婪是好的。所以，给我看看钱！