Windowsin HTTP-kirjaston haavoittuvuus mahdollistaa palveluneston

Haavoittuvuus koskee Windows IIS-palvelinohjelmiston lisäksi kaikkia HTTP.sys-kirjastoa käyttäviä sovelluksia, kuten kuluttajien suosimia DLNA-tiedostojenjakopalveluja, jos ne ovat avoinna internetiin.

Internetissä on julkistettu hyödyntämismenetelmiä, jolla on mahdollista saattaa HTTP.sys -kirjastoa käyttävät Windows-käyttöjärjestelmät palvelunestotilaan. Kyberturvallisuuskeskuksen tietojen mukaan palvelunesto on todennettu käytännössä, vaikkakin monet tutkijat ovat raportoineet, ettei haavoittuvuuden hyväksikäyttö onnistu.

HTTP.sys -kirjastoa käytetään IIS-palvelinohjelmiston lisäksi ainakin kuluttajien usein hyödyntämissä Windows DLNA-tiedostojenjakopalveluissa sekä joissain etähallintakäyttöliittymissä. Haavoittuvuuden hyödyntäminen edellyttää, että palveluun on pääsy internetistä.

Microsoftin tiedotteen mukaan haavoittuvuus mahdollistaa myös komentojen mielivaltaisen suorittamisen. Tästä ei ole toistaiseksi ole nähty valmiita hyödyntämismenetelmiä internetissä.

Kyberturvallisuuskeskus ei toistaiseksi ole havainnut haavoittuvuuden hyödyntämisyrityksiä.

Kyberturvallisuuskeskus kehottaa päivittämään verkkoon kytketyt Windows-käyttöjärjestelmät välittömästi, ennen kuin haavoittuvuuden hyödyntäminen yleistyy.

Varoituksen kohderyhmä

Haavoittuva kirjasto löytyy käyttöjärjestelmistä Windows Server 2008, Windows Server 2012, Windows 7 ja Windows 8.x.

Haavoittuvuus edellyttää, että käyttöjärjestelmässä on internetiin avoinna oleva HTTP.sys-kirjastoa hyödyntävä palvelu, kuten IIS-palvelinohjelmisto tai DLNA-tiedostojenjakopalvelu.


Ratkaisu- ja rajoitusmahdollisuudet

Asenna Microsoftin tarjoama huhtikuun päivityspaketti (MS15-APR)

https://technet.microsoft.com/library/security/ms15-apr

Jos päivitysten asentaminen heti ei ole mahdollista, Microsoftin tiedotteessa on mainittu myös mahdollinen tapa rajoittaa ongelmaa kytkemällä IIS:n kernel-välimuistin käytön pois päältä. Tämä ei kuitenkaan auta esimerkiksi DLNA-palveluun.

Lisätietoa

Microsoft Security Bulletin Summary for April 2015

Microsoft Security Bulletin MS15-034 - Critical

Haavoittuvuus 033/2015

Windows-palvelimien HTTP.sys-haavoittuvuuteen on julkisia hyväksikäyttötapoja (Tietoturva nyt! 16.4.2015)


Päivityshistoria

Asiasanat: Tietoturva , Varoitukset

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248