Schwachstelle im Microsoft Webserver IIS: SySS-Sicherheits-Empfehlung

Bislang unbekannte Details zur signaturbasierten Erkennung von DoS-Angriffen gegen MS15-034 von SySS-Experte Daniel Schalberger

Bislang unbekannte Details zur signaturbasierten Erkennung von DoS-Angriffen gegen MS15-034 von SySS-Experte Daniel Schalberger

Bei der Schwachstelle MS15-034 handelt es sich um einen 64-Bit Integer-Überlauf in einer Komponente des Microsoft-Webservers IIS, der sich durch einen manipulierten HTTP-Anfrage-Header auslösen lässt. Im Internet werden derzeit erste Exploits für diese Schwachstelle veröffentlicht (z.B. http://pastebin.com/raw.php?i=ypURDPc4 oder http://www.exploit-db.com/exploits/36773/), mit denen sich die Schwachstelle nachweisen oder für Angriffe gegen die Verfügbarkeit des Servers missbrauchen lässt. 

Alle bisher veröffentlichen Exploits verwenden als obere Grenze des Byte-Range-Headers die Zahl 18446744073709551615 (2^64-1), um den Integer-Überlauf und damit die Schwchstelle auszulösen. Die SySS GmbH möchte darauf hinweisen, dass prinzipiell jede Zahl der Form (2^64)*n-1 geeignet ist, den Überlauf auszulösen. Damit ergibt sich eine lange Sequenz von Zahlen, die für einen Angriff genutzt werden können:

n=1: 18446744073709551615

n=2: 36893488147419103231

n=3: 55340232221128654847

[...]

n=100: 1844674407370955161599

[...]

n=31337: 578065619037836218990591

[...]

Die SySS GmbH empfiehlt, dies insbesondere bei der Anpassung von IDS/IPS-Signaturen zu berücksichtigen.

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de | IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Direkter Kontakt

+49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN

+49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer