發(fā)布：2015年4月16日 0:37 

最新更新：2015年4月16日 8:10 

一、 漏洞情況

微軟在2015年4月的補(bǔ)丁日進(jìn)行了多個(gè)漏洞修補(bǔ)，涉及到Windows、OFFICE、IE、IIS等多個(gè)環(huán)節(jié)，本次補(bǔ)丁數(shù)量顯著高于平均水平。安天安全研究與應(yīng)急處理中心通過補(bǔ)丁相關(guān)信息研判，認(rèn)為其中有多個(gè)OFFICE和IE漏洞可能與近期各種攻擊相關(guān)，而其中編號(hào)為MS15-034的IIS遠(yuǎn)程執(zhí)行漏洞極為值得高度關(guān)注。

IIS是微軟提供的WEB服務(wù)程序，全稱是Internet Information Services，其可以提供HTTP、HTTPS、FTP等相關(guān)服務(wù)，同時(shí)支持ASP、JSP等WEB端腳本，有比較廣泛的應(yīng)用。

從MS15-034的等級(jí)和相關(guān)說明來看，攻擊者可以獲得遠(yuǎn)程具有IIS服務(wù)的主機(jī)執(zhí)行代碼和提權(quán)能力，其針對(duì)了驅(qū)動(dòng)HTTP.SYS實(shí)現(xiàn)特殊構(gòu)造的HTTP請(qǐng)求，就可以在System賬戶賬戶上下文中執(zhí)行任意代碼。這一漏洞影響的版本包括：

Windows 7（多數(shù)版本默認(rèn)不安裝IIS）

Windows Server 2008 R2

Windows 8

Windows 8.1

Windows Server 2012

Windows Server 2012 R2

二、 風(fēng)險(xiǎn)影響分析：

安天CERT提醒廣大用戶：由于WEB 服務(wù)本身的開放特點(diǎn)，極易被大規(guī)模輕載的掃描探測(cè)到。而對(duì)于熟練的攻擊者來說，現(xiàn)有WEB系統(tǒng)的IP分布、包括其對(duì)應(yīng)的WEB SERVER類型和版本，甚至是一種既有資源。因此各種攻擊團(tuán)伙有可能會(huì)快速找到大量目標(biāo)，因此當(dāng)前有大量服務(wù)器處于危險(xiǎn)當(dāng)中。

目前已經(jīng)出現(xiàn)可以使服務(wù)器藍(lán)屏的利用代碼，但截止到2015年4月15日24:00時(shí)，安天捕風(fēng)蜜網(wǎng)和其他感知通道尚未捕獲到有效的提權(quán)攻擊行為，但已經(jīng)發(fā)現(xiàn)針對(duì)80端口的掃描次數(shù)有所增加，但這并不表示不存在這種攻擊，或未來不會(huì)出現(xiàn)大面積的攻擊。同時(shí)由于時(shí)間關(guān)系，我們目前尚未有效測(cè)試DEP和ASLR等機(jī)制是否能形成有效的防護(hù)，盡管類似DEP機(jī)制對(duì)于IIS應(yīng)進(jìn)行了默認(rèn)的防護(hù)。

IIS的安全脆弱性曾長(zhǎng)時(shí)間被業(yè)內(nèi)詬病，早期出現(xiàn)了ASP源碼泄露等相關(guān)多個(gè)漏洞，并關(guān)聯(lián)導(dǎo)致了對(duì)后臺(tái)數(shù)據(jù)庫的相關(guān)風(fēng)險(xiǎn)。而在早期各個(gè)漏洞，其中造成了重大影響的是2001年，曾被紅色代碼（Codered）系列利用的高端溢出漏洞。其具有內(nèi)存?zhèn)鞑?，大量線程掃描，設(shè)置CMD后門等特點(diǎn)，基本將當(dāng)時(shí)各個(gè)安全防護(hù)的模式擊穿。而其遺留的CMD后門更引發(fā)了連鎖此生災(zāi)害。

在微軟全面強(qiáng)化內(nèi)存安全防護(hù)后，IIS的嚴(yán)重漏洞得到了有效控制，也一度出現(xiàn)IIS的0DAY售價(jià)數(shù)百萬的各種傳言。這也證明了一旦IIS出現(xiàn)遠(yuǎn)程執(zhí)行漏洞威脅將會(huì)非常嚴(yán)重。MS15-034，一方面有可能出現(xiàn)大量的滲透攻擊，同時(shí)也不排除出現(xiàn)類似當(dāng)年紅色代碼手法的的蠕蟲擴(kuò)散威脅，而同期網(wǎng)站篡改、黑鏈等攻擊也可能上升。

安天特別提醒網(wǎng)絡(luò)管理員，在打完微軟提供的補(bǔ)丁后，必須重啟修復(fù)才會(huì)生效，否則依然會(huì)面臨威脅。由于安天本身不從事熱補(bǔ)丁的研發(fā)工作，目前我們已經(jīng)了解到多個(gè)兄弟廠商在制作臨時(shí)熱補(bǔ)丁，對(duì)于不能宕機(jī)的用戶請(qǐng)查詢關(guān)注。此外，一些WINDOWS Server系統(tǒng)并非作為WEB使用，但其默認(rèn)安裝IIS，這對(duì)網(wǎng)絡(luò)管理者來說，亦可能是一個(gè)防護(hù)盲點(diǎn)，請(qǐng)?jiān)谒芾淼木W(wǎng)內(nèi)進(jìn)行掃描檢測(cè)相關(guān)服務(wù)端口。

安天CERT會(huì)進(jìn)一步跟蹤和關(guān)注相關(guān)事件進(jìn)展，并向公眾通報(bào)。

附件：參考資料和補(bǔ)丁編號(hào)

微軟官方信息：https://technet.microsoft.com/zh-CN/library/security/ms15-034.aspx

官方補(bǔ)丁下載：https://support.microsoft.com/zh-cn/kb/3042553

360公司，【安全告警】IIS遠(yuǎn)程執(zhí)行代碼漏洞（CVE-2015-1635）：http://bobao.#/news/detail/1435.html?from=groupmessage&isappinstalled=0

勘誤說明：

由于成文倉促，本文第一版出現(xiàn)了一些不應(yīng)有的筆誤，特此致歉。

第一版中“微軟在2014年4月的補(bǔ)丁日”應(yīng)為“微軟在2015年4月的補(bǔ)丁日”

第一版中“截止到2015年4月25日24:00時(shí)”應(yīng)為“截止到2015年4月15日24:00時(shí)”