AdvisoriesBei der Schwachstelle MS15-034 handelt es sich um einen 64-Bit Integer-Überlauf in einer Komponente des Microsoft-Webservers IIS, der sich durch einen manipulierten HTTP-Anfrage-Header auslösen lässt. Im Internet werden derzeit erste Exploits für diese Schwachstelle veröffentlicht (z.B. http://pastebin.com/raw.php?i=ypURDPc4 oder http://www.exploit-db.com/exploits/36773/), mit denen sich die Schwachstelle nachweisen oder für Angriffe gegen die Verfügbarkeit des Servers missbrauchen lässt.
Alle bisher veröffentlichen Exploits verwenden als obere Grenze des Byte-Range-Headers die Zahl 18446744073709551615 (2^64-1), um den Integer-Überlauf und damit die Schwchstelle auszulösen. Die SySS GmbH möchte darauf hinweisen, dass prinzipiell jede Zahl der Form (2^64)*n-1 geeignet ist, den Überlauf auszulösen. Damit ergibt sich eine lange Sequenz von Zahlen, die für einen Angriff genutzt werden können:
n=1: 18446744073709551615
n=2: 36893488147419103231
n=3: 55340232221128654847
[...]
n=100: 1844674407370955161599
[...]
n=31337: 578065619037836218990591
[...]
Die SySS GmbH empfiehlt, dies insbesondere bei der Anpassung von IDS/IPS-Signaturen zu berücksichtigen.
