{"id":268,"date":"2015-04-16T10:19:04","date_gmt":"2015-04-16T15:19:04","guid":{"rendered":"https:\/\/10.252.76.154\/?p=268"},"modified":"2015-09-29T17:07:30","modified_gmt":"2015-09-29T22:07:30","slug":"csirt-panama-aviso-2015-04-ejecucion-remota-de-codigo-a-traves-de-peticiones-http-en-microsoft-iis-cve-2015-1635","status":"publish","type":"post","link":"https:\/\/cert.pa\/?p=268","title":{"rendered":"CSIRT Panam\u00e1 Aviso 2015-04- Ejecuci\u00f3n remota de c\u00f3digo a trav\u00e9s de peticiones HTTP en Microsoft IIS (CVE-2015-1635)"},"content":{"rendered":"<p style=\"text-align: justify;\">CSIRT Panam\u00e1 Aviso 2015-04- Ejecuci\u00f3n remota de c\u00f3digo a trav\u00e9s de peticiones HTTP en Microsoft IIS (CVE-2015-1635)<br \/>\nGravedad: ALTA<br \/>\nFecha de publicaci\u00f3n: Abril, 2015<br \/>\nFecha de modificaci\u00f3n: Abril, 2015<br \/>\n\u00daltima revisi\u00f3n: Revisi\u00f3n A.<\/p>\n<p style=\"text-align: justify;\">I. Sistemas Afectados<\/p>\n<p style=\"text-align: justify;\">Windows 7 32 bits Service Pack 1<br \/>\nWindows 7 x64 bits Service Pack 1<br \/>\nWindows Server 2008 R2 x64 bits Service Pack 1<br \/>\nWindows Server 2008 R2 Sistema Itanium Service Pack 1<br \/>\nWindows 8 32 bits<br \/>\nWindows 8 x64 bits<br \/>\nWindows 8.1 32 bits<br \/>\nWindows 8.1 x64 bits<br \/>\nWindows Server 2012<br \/>\nWindows Server 2012 R2<br \/>\nWindows Server 2008 R2 x64 bits Service Pack 1<br \/>\nWindows Server 2012 (server core installation)<br \/>\nWindows Server 2012 R2 (server core installation)<\/p>\n<p style=\"text-align: justify;\">II. Descripci\u00f3n<br \/>\nLa vulnerabilidad presentada en el bolet\u00edn de seguridad de Microsoft, brinda detalles acerca de una vulnerabilidad de ejecuci\u00f3n remota de c\u00f3digo existente en el bloque de protocolo HTTP (HTTP.sys). La vulnerabilidad entra en acci\u00f3n cuando HTTP.sys no procesa adecuadamente peticiones HTTP, en uno de los encabezados de la petici\u00f3n modificadas para explotar esta vulnerabilidad. El c\u00f3digo CVE asignado a esta vulnerabilidad es: CVE-2015-1635.<\/p>\n<p style=\"text-align: justify;\">III. Impacto<br \/>\nVector de acceso: A trav\u00e9s de red.<br \/>\nComplejidad de Acceso: Baja.<br \/>\nAutenticaci\u00f3n: No requerida para explotarla.<br \/>\nTipo de impacto:<br \/>\nCompromiso total de la integridad del sistema,<br \/>\nCompromiso total de la disponibilidad del sistema,<br \/>\nCompromiso total de la confidencialidad del sistema<\/p>\n<p style=\"text-align: justify;\">IV. Detecci\u00f3n<br \/>\nEn Internet existen m\u00faltiples pruebas de concepto que permiten verificar si un servidor es vulnerable, afectando la disponibilidad del mismo servidor. Sin embargo, se ha publicado en Internet un script de nmap en donde podemos realizar un barrido en busca de esta vulnerabilidad.<br \/>\nEn la lista de correo de desarrollo de NMAP se ha presentado este script que permite verificar si un servidor es vulnerable a esta vulnerabilidad. El script en estos momentos se encuentra en el siguiente enlace:\u00a0http:\/\/pastebin.com\/HeBDTenr<\/p>\n<p style=\"text-align: justify;\">Luego usted debe descargar el script y colocarlo en la carpeta de scripts de nmap, usualmente se puede encontrar en la carpeta \/usr\/src\/nmap\/script<\/p>\n<p style=\"text-align: justify;\">Recuerde que para actualizar la base de datos de scripts usted debe colocar:<\/p>\n<p style=\"text-align: justify;\">#nmap \u2013script-updatedb<br \/>\nPara ejecutar este script deber\u00e1:<br \/>\n#nmap &#8211;script ms15-034 &lt;Direcci\u00f3n IP&gt;<br \/>\nStarting Nmap 6.47 ( http:\/\/nmap.org ) at 2015-04-15<br \/>\nNmap scan report for a.b.c.d<br \/>\nHost is up (0.0059s latency).<br \/>\nNot shown: 988 closed ports<br \/>\nPORT STATE SERVICE<br \/>\n80\/tcp open http<br \/>\n|_ms15-034: Vulnerable<br \/>\n135\/tcp open msrpc<br \/>\n139\/tcp open netbios-ssn<br \/>\n445\/tcp open microsoft-ds<br \/>\n1025\/tcp open NFS-or-IIS<br \/>\n1026\/tcp open LSA-or-nterm<\/p>\n<p style=\"text-align: justify;\">De esta forma usted podr\u00e1 detectar los sistemas afectados por esta vulnerabilidad.<\/p>\n<p style=\"text-align: justify;\">V. Mitigaci\u00f3n<\/p>\n<ul>\n<li style=\"text-align: justify;\">Actualizar el software<br \/>\nSe recomienda realizar una actualizaci\u00f3n del sistema con el fin de solucionar esta vulnerabilidad.<\/li>\n<li style=\"text-align: justify;\">Desactivar el caching del kernel IIS<br \/>\nPara obtener m\u00e1s informaci\u00f3n acerca de este concepto y sus repercusiones en los sistemas lea: https:\/\/technet.microsoft.com\/en-us\/library\/cc731903(v=ws.10).aspx<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">VI. Informaci\u00f3n Adicional<\/p>\n<ul>\n<li style=\"text-align: justify;\">https:\/\/technet.microsoft.com\/library\/security\/ms15-034<\/li>\n<li style=\"text-align: justify;\">http:\/\/www.cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2015-1635<\/li>\n<li style=\"text-align: justify;\">https:\/\/web.nvd.nist.gov\/view\/vuln\/detail?vulnId=CVE-2015-1635<\/li>\n<li style=\"text-align: justify;\">http:\/\/www.reddit.com\/r\/netsec\/comments\/32n3m2\/cve20151635_rce_in_windows_httpsys\/<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">VII. Informaci\u00f3n de contacto<br \/>\nCSIRT PANAMA<br \/>\nAutoridad Nacional para la Innovaci\u00f3n Gubernamental<br \/>\nE-Mail: info@cert.pa<br \/>\nTel\u00e9fono: 520-2378<br \/>\nWeb: https:\/\/www.cert.pa<\/p>\n<p style=\"text-align: justify;\">&#8212;&#8211;BEGIN PGP PUBLIC KEY BLOCK&#8212;&#8211;<br \/>\nVersion: GnuPG v2.0.17 (MingW32)<\/p>\n<p style=\"text-align: justify;\">mQENBE8C9KoBCAClkvrtdD08B1YgIntnK241GmWY7fRWtPn\/QIEG1+TLokEuOhw+<br \/>\nGq\/lK\/4NP9RzqpD57LcRUBiGgTmO\/5C9xkhVmxz2jid0h03fLorC84rAk2pOjr0i<br \/>\npbltETq9RCGhOWp13OV22x2yiIedBi05bzw3F+uLHhn9xKjmpBuZB6WO\/TuD52DH<br \/>\nKRZtwSvoaa61vL0bGnIf3lNGWkALWEC3lGBppby4D05N2FNfgfOFr1yOpxTaRaDh<br \/>\n4kOnoAEWVzppkTPyqSOkwXmgdma8D9yqD41Ffu8ypGTv+OOVO7jDq8tx9wVZEU+w<br \/>\npqBTzQcf0P0K7qO3igdHQxqHmqXsaJpbmvCBABEBAAG0KkNTSVJUIFBhbmFtYSAo<br \/>\nQ1NJUlQgUGFuYW1hKSA8aW5mb0BjZXJ0LnBhPokBOAQTAQIAIgUCTwL0qgIbDwYL<br \/>\nCQgHAwIGFQgCCQoLBBYCAwECHgECF4AACgkQ2YlXchbysSSPSQgAooUy3qSR\/YX2<br \/>\nH3USJ5VzrmnraHg5LIWRPIBD1PGrswjLE8hxdobPU\/uzi9LWnEcDscfFVKM\/K0Jt<br \/>\nbjeoESqCVFlpE0YXJWdDhy0m2WM410sDE2HVXbPhWGqrNeDb0VUV\/LWag1yYTj5w<br \/>\nkkxma4Tk5TqlhgL5su2PpjtTdFSHYD4N+4mu7g1GhRrrpz+u7ZRm3b\/WkAJg5FIg<br \/>\nU0MpPqUGAF5\/pc02ZB10FdxDwWyXAkwYUN+zfLiKzKOrBGkEw9+jvFGU+z76P9Zk<br \/>\n1XJIexpmkBYTxc+TOclhAp\/3HP4taoBHRMoR1q1YhdC++UgRSLmPLGn\/AB707JzN<br \/>\nQ80++q2kWQ==<br \/>\n=JUYg<br \/>\n&#8212;&#8211;END PGP PUBLIC KEY BLOCK&#8212;&#8211;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>CSIRT Panam\u00e1 Aviso 2015-04- Ejecuci\u00f3n remota de c\u00f3digo a trav\u00e9s de peticiones HTTP en Microsoft IIS (CVE-2015-1635) Gravedad: ALTA Fecha de publicaci\u00f3n: Abril, 2015 Fecha de modificaci\u00f3n: Abril, 2015 \u00daltima revisi\u00f3n: Revisi\u00f3n A. I. Sistemas&#8230;<\/p>\n","protected":false},"author":4,"featured_media":295,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false,"footnotes":""},"categories":[4],"tags":[8,9],"class_list":["post-268","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-avisos-de-seguridad","tag-avisos","tag-microsoft"],"_links":{"self":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/268","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=268"}],"version-history":[{"count":3,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/268\/revisions"}],"predecessor-version":[{"id":271,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/268\/revisions\/271"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/media\/295"}],"wp:attachment":[{"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=268"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=268"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=268"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}