WindowsのHTTPプロトコルスタックにリモートでコードが実行される脆弱性 28
ストーリー by hylom
これはでかい 部門より
これはでかい 部門より
あるAnonymous Coward 曰く、
Microsoftは日本時間の15日、セキュリティ情報11件を公開した。最大深刻度が4段階中で最も高い「緊急」が4件ある。そのうちのMS15-034では、Windowsに対して特別に細工されたHTTP要求を攻撃者が送信した場合に、リモートでコードが実行される可能性があるというHTTP.sysの脆弱性を修正するものとなっている(Mattias Geniar氏Blog、INTERNET Watch、Slashdot)。
すでにこの脆弱性を悪用したエクスプロイト・コードは出回っているとのことで、IIS向けの回避策として出力キャッシュを無効にする方法(「カーネルキャッシュを有効にする」のチェックを外す)も提示されている。ただしパフォーマンスは落ちる(piyologで詳しい検証記事が掲載されている)。
HTTP.sysを信用するな (スコア:5, すばらしい洞察)
で起こると言うことは、範囲チェックが甘くて変なメモリをアクセスするんだろうけど、HTTPをパースするなら物凄く変なリクエストが来て未知の不具合が顕在化する危険性はこれからも高いと思う。問題はカーネルモードでそれが起こると全体を巻き込んでフリーズする事だから、カーネルモードにサンドボックスを創れないのだろうか。
通信がネットワークドライバで独立していると考えれば、HTTPをパースして結果を返すのはメモリ処理で完結してハードウェアの状態遷移を伴わないのだから、
が起こってもHTTP.sysを再起動するかパージする機構ができるのではないかと思ってしまう。
とにかく、カーネルモードでHTTPを処理するのなら、基本的にHTTP.sysを信用しない構造にして欲しい。
※HTTP.sysだと直感的に機能が判りにくいのでHTTPD.sysとかにしてくれないかな。
Re:HTTP.sysを信用するな (スコア:3, おもしろおかしい)
> カーネルモードにサンドボックスを創れないのだろうか。
MS-DOSみたいなごく原始的なOSを除けばサンドボックスはすでに実装されているよ。ちなみにユーザーモードという名前がついている。
Re:HTTP.sysを信用するな (スコア:1)
HTTP.sysの大きな目的の一つがカーネルモードとユーザーモードの切り替えコストを発生させずに処理を高速化することだから、ユーザーモードを使うならHTTP.sysの存在意義が薄れてしまいます。IIS 6.0の概要 [atmarkit.co.jp]
なので
という疑問になりました。
今回の様なメモリ処理で完結している場合は、その様なモジュールの居場所としてリング1とかリング2が低コストで使えないのだろうか、とか、リング0のままでもメモリディスクリプタテーブルを必要最小限の物に切り替えて安全性を高められるのではないかと考えました。
Re: (スコア:0)
カーネルモードとユーザーモードの切り替えコストは要するにサンドボックス境界をまたぐコストなわけだが。
> その様なモジュールの居場所としてリング1とかリング2が低コストで使えないのだろうか、とか、リング0のままでもメモリディスクリプタテーブルを必要最小限の物に切り替えて安全性を高められるのではないか
そんなARMはもちろんx64ですらほとんど廃止された化石のような機能群を持ち出されても。
Re: (スコア:0)
Re: (スコア:0)
Singularity [wikipedia.org]という、静的検証で安全なマネージドコードをカーネルモードで動かす、Microsoftの実験的OSはありますね。
Linuxでも、一応eBPFという仮想マシンを内蔵していますが、安全性はどうなのだろうか?
Re:HTTP.sysを信用するな (スコア:1)
ていうか、TCP/IPはともかくHTTPをカーネルでパースされてもなぁ……という感じ。
OSで提供するとしてもユーザーランドで動くライブラリで十分な気しかしない。
サーバもといサービス・デーモンにd付けるのはUNIX文化で、プロトコルとしてはHTTPなのだからそこは問題ないと思う。
自分もクライアントとしてのWindowsでも起きる話かと思ってびっくりはしたけど。
Re: (スコア:0)
"server"版WindowsじゃなくてもIISモドキHTTPサーバーは標準で入れられるから影響受ける場合もあると思います。
対象製品にclient版Windowsも入ってますし。
普通はわざわざ有効にしないと思うからおそらくは問題ないと思われますが。
Re: (スコア:0)
自分用ファイル置き場サーバーで建ててたことあったなあ。
今はもうDropboxとかOneDriveとかクラウドサービスで事足りてるけど。
Re: (スコア:0)
HTTPのクライアントって意味で、Server版でないWindowsって意味ではないです。
非Server版でもIISが入れられるのは知ってますが、仰るとおり一般には有効にしない機能ですね。
Re: (スコア:0)
長々と何を書いているのかと思ったら、HTTP.sysがカーネルモードで動いているのに文句を言っているってことか。
最近はOSの起動時からHTTPを処理する必要があるから、カーネルモードで動作するHTTPモジュールも必要なんだろうけど、
確かに、IISがHTTPリスクエストをパーズするのにカーネルモードは不要な気もするな。
ユーザランドで動くHTTPモジュールもあってもよさそうに思う。
詳しい検証記事が掲載されている (スコア:0, フレームのもと)
最近は検証記事にリンクを張っただけのものを検証記事というのか。そりゃみんなNAVERまとめやコピペブログしかやらなくなるわけだわ。
Re: (スコア:0)
あれをリンクを張っただけというのなら、お前の目はただの穴だな
今月の発見者 (スコア:0)
HPが9件、Googleが3件、Securina、Citrix、Trend Micro、SalesForce、VeriSignが1件ずつ。個人も2件ありますね。
TN Acknowledgements [microsoft.com]
OSの脆弱性を発見できるほどのセキュリティチームを持っている企業はたいしたもんだと思います。
日本のIT企業じゃなかなか考えられませんね。
Re:今月の発見者 (スコア:1)
単にOSの機能に踏み込んだものを作っていないだけの話では?
HPは顧客のクラッシュダンプを、GoogleはChromeのクラッシュダンプを分析してる結果じゃないかなぁ。
アメリカの企業も含めて、たいていのところは、クラッシュダンプでOSの中で落ちているところまでは分析しても、そこからは何もアクションしてない気がする。
Re:今月の発見者 (スコア:2)
okkyさんの職場のとある部門では自社製品でないクラッシュダンプの分析からパフォーマンス他障害の理由を解析するらしいぞ。
難しい仕事はあれもこれもokkyさんに回ってくるらしいそうなのでリソース有限の意味を吟味してから相談のこと。
Re: (スコア:0)
大体MSのインシデントチケット使うのがせいぜい(と勝手に思ってる)
Re: (スコア:0)
チちただったのをたってのとスープの
Re: (スコア:0)
給料上がりませんから開発元にレポートして終わりです。
怖い怖い怖い (スコア:0)
サーバ・クライアントの区別なく全てのWindows PCが影響するってことだよね
さすがにヤバすぎる、MS史上最悪じゃないか?
Re:怖い怖い怖い (スコア:1)
こんなのが史上最悪って…
今の子はもうNimdaとか知らないのか。
Re:怖い怖い怖い (スコア:1)
普通のWindowsPCではHTTPサーバなんて建てないし、
建ててもIIS以外を使うことも多いのでそいつらは無関係。
Windows ServerじゃないWindowsでもIISは有効にできるので対象製品に含まれるけど、
IEコンポーネントなんぞよりよほど運用者数の少ない機能ですよ。
まぁ、ASPとかASP.NET使ってるWebサイトで任意コード実行可能って脆弱性の時点で相当やばいんですけど、
流出までセットで置きない限り一般ユーザにはそこまでリスクのある話じゃない。
Re: (スコア:0)
ASPホストしてても間にリバースプロキシ挟んでいたらセーフになる可能性もあるかな?
apacheのDoS [srad.jp]対策にnginxにRangeを無視する設定したような記憶が。
そういえばLinuxにも (スコア:0)
TUX web server (khttpd) [wikipedia.org] ってのがありましたなぁ・・
http.sys って、IIS専用のコンポーネントなの? (スコア:0)
Windowsには、HTTPベース機構がごまんとある気がするが、IISのみに注目しすぎな気がする。
WIN-RMとか、やばい気がする。
http://blogs.technet.com/b/jonjor/archive/2009/01/09/winrm-windows-rem... [technet.com]
http://technet.microsoft.com/library/security/MS15-034 [microsoft.com]
もし、IIS非搭載のPCが、この脆弱性を逃れられるなら、問題を緩和する要素 のセクションにその旨記載されるはず。
まず最初にIISから対応は正しいと思うが、IISのみ対応は明らかに危ない。
無題 (スコア:0)
Windows関連の脆弱性、多すぎるね。
そしてアップデートによる不具合も。
Windows使うこと自体がリスクに!?
そう思う人もいることだろうね。
Windows10とか大丈夫なのか??
Flashも徐々に減ってきてるけどね。