当前状态

• MS15-034存在远程拒绝服务（DoS）漏洞
• 远程利用代码可能即将发布…请保持关注

蓝队行动指令

• 立即修补。请立刻执行。
• 严密监控IIS日志，重点关注实施DoS攻击或尝试攻击的系统。您的系统正在被 profiling（特征分析）。一旦可利用代码发布，存在漏洞的服务器将成为攻击目标。

红队行动指令

• 保持高度警觉。
• 帮助组织内尚未认识到问题严重性的人员理解风险。

技术细节

尽管微软在安全领域声誉不佳，但过去几年其在安全方面表现卓越。距离上一次公开可用的Windows远程代码执行漏洞已有约七年时间…而MS15-034很可能终结这一记录。

此漏洞针对IIS及其他使用HTTP.sys的Web服务。攻击者通过发送特制HTTP请求利用该漏洞。截至本文撰写时，针对该漏洞发布的大多数攻击工具“仅”通过崩溃监听Web服务或服务器操作系统造成拒绝服务。由于“可用性”是CIA三要素（机密性、完整性和可用性）之一，此事关系重大…但情况可能即将恶化。

该攻击的新变种似乎已超越简单DoS范畴，转而直接将可执行代码注入内存。提示：这绝非好事。更糟糕的是，此代码将以System权限运行。在Windows系统中，不存在更高权限的账户。让互联网上的随机人员在您的服务器上运行任意代码绝非好事。我们BHIS建议您不要采用《欲望号街车》中Blanche duBois的做法：“我总是依赖陌生人的善意。”

该漏洞的严重性在于：攻击Web服务即是对这些系统存在理由（raison d’etre）的直接攻击。这意味着您的外部防火墙必须允许访问正是存在漏洞的服务。糟糕！

由于该漏洞极具诱惑力，所有具备漏洞开发技能的人员都在疯狂投入研究。胜出者不仅将获得持久的名利，更涉及巨额资金。如果从电影中学到一件事，那便是爱征服一切。等等，不是这句。贪婪是好事。所以，亮出你的筹码吧！

封面图片说明：采用Black Hills Information Security官方Logo作为技术文章视觉标识，符合专业安全团队形象。