MS15-034 HTTP.sys 远程执行代码漏洞(原理扫描)/KB3021910、 KB2919355、KB3042553下载链接

 

KB3021910：

https://www.microsoft.com/zh-cn/download/details.aspx?id=46824

KB2919355：

https://www.microsoft.com/zh-CN/download/details.aspx?id=42334

KB3042553：

https://www.microsoft.com/zh-CN/download/details.aspx?id=46500

 

MS15-034是一个严重的安全漏洞，它影响Windows平台中的HTTP协议堆栈HTTP.sys。以下是关于该漏洞的原理扫描信息：

1. 漏洞概述：

   • MS15-034，也称为CVE-2015-1635，是一个远程执行代码漏洞，存在于HTTP协议堆栈HTTP.sys中。当HTTP.sys未能正确分析经过特殊设计的HTTP请求时，会导致此漏洞。成功利用此漏洞的攻击者可以在系统账户的上下文中执行任意代码。

2. 漏洞成因：

   • HTTP.sys是Microsoft Windows处理HTTP请求的内核驱动程序。HTTP.sys会错误解析某些特殊构造的HTTP请求，导致远程代码执行漏洞。成功利用此漏洞后，攻击者可在System帐户上下文中执行任意代码。

3. 影响版本：

   • 受影响的系统包括安装了微软IIS 6.0以上的Windows 7、Windows Server 2008 R2、Windows Server 2012、Windows 8、Windows 8.1和Windows Server 2012 R2。

4. 漏洞危害：

   • 攻击者可以通过发送恶意的HTTP请求数据包，远程读取IIS服务器的内存数据，或使服务器系统蓝屏崩溃。

5. 漏洞验证：

   • 可以通过发送包含特定Range头的HTTP请求来验证漏洞的存在。如果服务器返回416状态码（Requested Range Not Satisfiable），则表明系统可能存在该漏洞。

6. 漏洞防御：

   • 官方补丁：安装微软发布的安全更新补丁KB3042553可以修复此漏洞。
   • 临时解决办法：禁用IIS内核缓存，但这可能会导致IIS性能下降。

7. 漏洞利用：

   • 攻击者可以利用此漏洞进行拒绝服务攻击（DDos），导致目标主机死机蓝屏重启，或者读取服务器内存数据。