【文章摘要】近日,电脑管家监控到有大量Windows计算机蓝屏重启,经过技术人员定位分析发现是大规模的网络攻击导致。
近日,电脑管家监控到有大量Windows计算机蓝屏重启,经过技术人员定位分析发现是大规模的网络攻击导致。
攻击者通过利用今年微软在4月份公布的一个严重安全漏洞CVE-2015-1635(MS15-034),尝试发送如下的请求到服务器,从而造成服务器蓝屏。
可能的蓝屏堆栈如下:
这个漏洞产生于微软的系统组件HTTP.sys中,这个组件主要用于解析Http请求。由于没有正确的处理HTTP请求中的Range参数,导致漏洞的产生。
微软从IIS6.0开始就带有这个组件,所以受影响的主要是IIS,但其他使用Http.sys的服务也可能会受到影响,可以通过如下的命令来判断受影响的组件
netsh http show servicestate
这次漏洞攻击范围较广,不仅发生在国内,据安全研究人员发现不少国外的服务器也同样遭受到攻击。其攻击形式目前只是用来执行DoS(拒绝服务)攻击,造成网站服务不可用。然而微软公告称该漏洞还可能会被用于远程执行任意代码,但目前还没有发现这样的漏洞利用程序。同时,该漏洞同样也可以产生信息泄露的风险,通过构造特殊的请求包来获取服务器的内存内容。
而影响的操作系统包括:Windows 7,Windows Server 2008 R2,Windows 8,Window Server 2012,Windows 8.1以及Windows Server 2012 R2。
电脑管家提醒广大用户尽快通过电脑管家安装相应的补丁程序。
腾讯云上的Windows用户,可开启安全网站安全防护(WAF)进行防御(开通方法详见:https://bbs.qcloud.com/thread-6960-1-1.html ),将不会受到这次攻击的影响。
对于网站管理员而言,可以通过如下的方法来判断你的服务器是否存在漏洞
GET /welcome.png HTTP/1.1
HOST: your host
Range: bytes=0-18446744073709551615
如果服务器返回“RequestedRange Not Satisfiable”,则表示服务器存在漏洞,需要尽快打补丁,或者临时关闭IIS的内核缓存(Kernel Caching)功能,但这会影响到IIS的性能。
