4 No-Bull-Fakten zur Sicherheitsanfälligkeit von Microsoft in HTTP.sys

Anfang dieser Woche veröffentlichte Microsoft zwischen all seinen anderen Patch-Kernschmelzen Details zu einer Sicherheitsanfälligkeit (MS15-034), die sich auf den Windows-HTTP-Stack auswirkt.

Klingt nach einem Problem, das nur Windows-Server betrifft, oder? Falsch - es trifft eine ganze Reihe von Windows-Produkten, einschließlich Desktop- Versionen von Windows.

Hier sind vier der wichtigsten Hinweise zu dieser Sicherheitsanfälligkeit, für die Microsoft bereits einen Patch vorbereitet hat.

1. Das Problem betrifft Systeme, die keine Server sind oder sogar IIS ausführen

HTTP.sys, die anfällige Windows-Komponente in diesem Problem, ist ein Gerätetreiber im Kernelmodus, mit dem HTTP-Anforderungen mit hoher Geschwindigkeit verarbeitet werden. IIS 6.0 und höher verwenden es, was bedeutet, dass es seit 2003 ein fester Bestandteil von Windows ist. (Nicht alle Programme, die in Windows als Webserver fungieren, haben HTTP.sys verwendet, wie in diesem Beitrag aus dem Jahr 2011 dokumentiert.)

Das eigentliche Problem ist, dass HTTP.sys nicht nur in den Serverversionen von Windows vorhanden ist, sondern auch in Windows 7 und Windows 8 (und 8.1). Das bedeutet, dass alle Desktop-Systeme, die nicht sorgfältig gepatcht werden, ebenfalls von diesem Problem betroffen sind.

2. Es ist leicht auszunutzen

Microsoft war absichtlich vage, was erforderlich ist, um diese Sicherheitsanfälligkeit auszunutzen, und sagte, dass nur "eine speziell gestaltete HTTP-Anfrage" verwendet werden könnte, um sie auszulösen. Mattias Geniar vom Hosting-Lösungsanbieter Nucleus behauptet, "die ersten Schnipsel des Exploit-Codes" für das Problem aufgespürt zu haben.

3. Diese Art von Angriff wurde auf anderen Webservern verwendet

Laut Geniar kann der Angriff ausgeführt werden, indem einfach eine einzelne HTTP-Anforderung mit einem fehlerhaften Bereichsanforderungsheader gesendet wird. Diese Technik wird normalerweise verwendet, um einem Host das Abrufen eines Teils einer Datei von einem Webserver zu ermöglichen.

Bereits 2011 wurde ein vage ähnlicher Angriff für den Apache HTTPD-Webserver dokumentiert. Diese Sicherheitsanfälligkeit wurde früh genug behoben, und eine Problemumgehung (Hinweis: niederländischer Text auf Seite) konnte auch durch Bearbeiten der .htaccess-Datei für eine bestimmte Website implementiert werden. Es wird jedoch behauptet, dass dieser Angriff auf Systemen funktioniert, auf denen formell kein Webserver ausgeführt wird, was die Sache kompliziert.

4. Sie können leicht überprüfen, ob Sie anfällig sind

Nun zu einer guten Nachricht: Es ist relativ einfach festzustellen, ob ein Server, mit dem Sie zu tun haben, gepatcht wurde oder nicht. Der Entwickler "Pavel" hat eine Website (mit Open Source Code) erstellt, mit der jeder öffentlich zugängliche Webserver auf das Vorhandensein des Fehlers getestet werden kann. Wenn das Tool etwas anderes als "[Domain] ist gepatcht" sagt, sollten Sie das betreffende System aktualisieren.

Fazit: Patchen Sie, wenn Sie dies nicht getan haben, und achten Sie darauf, wie sich dieses Problem möglicherweise auf Systeme auswirken kann, die eigentlich nie als Server gedacht waren.