¿La vulnerabilidad de http.sys afecta a Windows que no ejecuta ningún servidor web?

9

El controlador HTTP% del nivel del kernel de Windows http.sys se ve afectado por la vulnerabilidad de ejecución remota de código ( MS15 -034 ).

  

Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Windows.   La vulnerabilidad podría permitir la ejecución remota de código si un atacante   envía una solicitud HTTP especialmente diseñada a un sistema Windows afectado.

     

Esta actualización de seguridad se considera crítica para todas las ediciones compatibles de   Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012,   Windows 8.1 y Windows Server 2012 R2.

Lo que no me queda claro es si http.sys se ejecutaría y escucharía en una máquina con Windows que no tiene un servidor web instalado.

Publicar en la instalación de nginx en Windows sugeriría que http.sys se está ejecutando independientemente. ¿Es ese el caso o estaría deshabilitado de forma predeterminada en las versiones de Windows de escritorio?

    
pregunta vartec 16.04.2015 - 22:41
fuente

2 respuestas

5

IIS es una de las muchas aplicaciones a las que se le pasan solicitudes HTTP desde HTTP.sys, por lo que HTTP.sys se puede cargar sin que IIS se ejecute o incluso se instale.

Windows implementa una escucha HTTP como parte del subsistema de red a través de un controlador en modo kernel (HTTP.sys). HTTP.sys es lo que realmente escucha las solicitudes HTTP y las pasa a la aplicación responsable de procesar la solicitud (por ejemplo, IIS / WinRM, etc.). También es responsable de devolver la respuesta HTTP a la aplicación cliente (por ejemplo, navegador web, powershell, etc.). Pila de protocolo de transferencia de hipertexto (HTTP.sys)

Ejemplos de aplicaciones / servicios que utilizan HTTP.sys: ADFS, PowerShell Remoting (utiliza WinRM), SSDP (Simple Service Discovery Protocol), UPnP (Universal Plug and Play), Proxy de aplicación web, Win Media Extender, WinRM (Windows Remote Management)

Tenga en cuenta que puede ejecutar netsh http show servicestate para ver qué está usando HTTP.sys.

    
respondido por el phiz 18.04.2015 - 02:09
fuente
2

Este reddit nos proporciona información basada en las vulnerabilidades informadas. Como puede ver, es un problema relacionado con la validación en el encabezado HTTP "Range". Algunos usuarios informaron que obtuvieron BSoD inmediatamente después de emitir las solicitudes mencionadas a sus servidores web.

Corrección : Entonces, como parece, usted NO tiene que estar ejecutando IIS para verse afectado por esta vulnerabilidad.

EDIT:

Uno de los mensajes dice:

  

"HTTP.sys es un controlador que se utiliza en muchas cosas, no solo en IIS. Todavía lo estoy rastreando desde el lado del cliente, pero desde la investigación inicial, SSDP, UPnP, WinRM, Powershell Remoting, Win Media Extender ..."

Alguien incluso dijo:

  

También sospeche de ADFS.

     

editar: Sí, pantalla azul posible.

Y para empeorar las cosas, el problema está en el núcleo, como se indica en la solución oficial del boletín.

    
respondido por el DarkLighting 17.04.2015 - 00:05
fuente

Lea otras preguntas en las etiquetas