Windows 内核级 HTTP 驱动程序http.sys受到远程代码执行漏洞 ( MS15-034 ) 的影响。
此安全更新解决了 Microsoft Windows 中的一个漏洞。如果攻击者向受影响的 Windows 系统发送特制的 HTTP 请求,该漏洞可能允许远程执行代码。
对于 Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows 8.1 和 Windows Server 2012 R2 的所有受支持版本,此安全更新的评级为“严重”。
我不清楚的是是否http.sys会在没有安装 Web 服务器的 Windows 机器上运行和监听?
在 Windows上安装 nginx 的帖子会建议http.sys无论如何都在运行。是这种情况还是默认情况下会在桌面 Windows 版本上被禁用?
IIS 是从 HTTP.sys 获取 HTTP 请求传递给它的众多应用程序之一,因此可以在没有运行甚至安装 IIS 的情况下加载 HTTP.sys。
Windows 通过内核模式驱动程序 (HTTP.sys) 将 HTTP 侦听器实现为网络子系统的一部分。HTTP.sys 是实际监听 HTTP 请求并将其传递给负责处理请求的应用程序(例如 IIS/WinRM 等)的程序。它还负责将 HTTP 响应传递回客户端应用程序(例如 Web 浏览器、Powershell 等)。超文本传输协议栈 (HTTP.sys)
使用 HTTP.sys 的应用程序/服务示例:ADFS、Powershell Remoting(使用 WinRM)、SSDP(简单服务发现协议)、UPnP(通用即插即用)、Web 应用程序代理、Win Media Extender、WinRM(Windows 远程管理)
请注意,您可以运行netsh http show servicestate以查看使用 HTTP.sys 的内容。
这个reddit为我们提供了一些基于报告的漏洞的信息。如您所见,在“范围”HTTP 标头中进行验证是一个问题。一些用户报告在向他们的 Web 服务器发出上述请求后立即获得 BSoD。
更正:因此,看起来,您不必运行IIS 即可受到此漏洞的影响。
编辑:
其中一篇帖子说:
“HTTP.sys 是一个用于很多东西的驱动程序,不仅仅是 IIS。我仍在跟踪它的客户端,但从最初的调查来看,SSDP、UPnP、WinRM、Powershell Remoting、Win Media Extender……”
甚至有人说:
也怀疑ADFS。
编辑:是的,可能出现蓝屏。
更糟糕的是,问题出在内核中,正如公告中的官方解决方法所述。