CSIRT Panamá Aviso 2015-04- Ejecución remota de código a través de peticiones HTTP en Microsoft IIS (CVE-2015-1635)
Gravedad: ALTA
Fecha de publicación: Abril, 2015
Fecha de modificación: Abril, 2015
Última revisión: Revisión A.
I. Sistemas Afectados
Windows 7 32 bits Service Pack 1
Windows 7 x64 bits Service Pack 1
Windows Server 2008 R2 x64 bits Service Pack 1
Windows Server 2008 R2 Sistema Itanium Service Pack 1
Windows 8 32 bits
Windows 8 x64 bits
Windows 8.1 32 bits
Windows 8.1 x64 bits
Windows Server 2012
Windows Server 2012 R2
Windows Server 2008 R2 x64 bits Service Pack 1
Windows Server 2012 (server core installation)
Windows Server 2012 R2 (server core installation)
II. Descripción
La vulnerabilidad presentada en el boletín de seguridad de Microsoft, brinda detalles acerca de una vulnerabilidad de ejecución remota de código existente en el bloque de protocolo HTTP (HTTP.sys). La vulnerabilidad entra en acción cuando HTTP.sys no procesa adecuadamente peticiones HTTP, en uno de los encabezados de la petición modificadas para explotar esta vulnerabilidad. El código CVE asignado a esta vulnerabilidad es: CVE-2015-1635.
III. Impacto
Vector de acceso: A través de red.
Complejidad de Acceso: Baja.
Autenticación: No requerida para explotarla.
Tipo de impacto:
Compromiso total de la integridad del sistema,
Compromiso total de la disponibilidad del sistema,
Compromiso total de la confidencialidad del sistema
IV. Detección
En Internet existen múltiples pruebas de concepto que permiten verificar si un servidor es vulnerable, afectando la disponibilidad del mismo servidor. Sin embargo, se ha publicado en Internet un script de nmap en donde podemos realizar un barrido en busca de esta vulnerabilidad.
En la lista de correo de desarrollo de NMAP se ha presentado este script que permite verificar si un servidor es vulnerable a esta vulnerabilidad. El script en estos momentos se encuentra en el siguiente enlace: http://pastebin.com/HeBDTenr
Luego usted debe descargar el script y colocarlo en la carpeta de scripts de nmap, usualmente se puede encontrar en la carpeta /usr/src/nmap/script
Recuerde que para actualizar la base de datos de scripts usted debe colocar:
#nmap –script-updatedb
Para ejecutar este script deberá:
#nmap –script ms15-034 <Dirección IP>
Starting Nmap 6.47 ( http://nmap.org ) at 2015-04-15
Nmap scan report for a.b.c.d
Host is up (0.0059s latency).
Not shown: 988 closed ports
PORT STATE SERVICE
80/tcp open http
|_ms15-034: Vulnerable
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
1025/tcp open NFS-or-IIS
1026/tcp open LSA-or-nterm
De esta forma usted podrá detectar los sistemas afectados por esta vulnerabilidad.
V. Mitigación
- Actualizar el software
Se recomienda realizar una actualización del sistema con el fin de solucionar esta vulnerabilidad. - Desactivar el caching del kernel IIS
Para obtener más información acerca de este concepto y sus repercusiones en los sistemas lea: https://technet.microsoft.com/en-us/library/cc731903(v=ws.10).aspx
VI. Información Adicional
- https://technet.microsoft.com/library/security/ms15-034
- http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1635
- https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1635
- http://www.reddit.com/r/netsec/comments/32n3m2/cve20151635_rce_in_windows_httpsys/
VII. Información de contacto
CSIRT PANAMA
Autoridad Nacional para la Innovación Gubernamental
E-Mail: info@cert.pa
Teléfono: 520-2378
Web: https://www.cert.pa
—–BEGIN PGP PUBLIC KEY BLOCK—–
Version: GnuPG v2.0.17 (MingW32)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=JUYg
—–END PGP PUBLIC KEY BLOCK—–