แพตช์เซิร์ฟเวอร์ IIS ด่วน โค้ดยิงให้เซิร์ฟเวอร์แครชกระจายทั่วอินเทอร์เน็ต

By: lew
FounderJusci's WriterMEconomicsAndroid
on 17 April 2015 - 12:42 Tags:
Topics: 
Security
Server
IIS
Microsoft
Node Thumbnail

เมื่อวันอังคารที่ผ่านมาไมโครซอฟท์ออกแพตช์ชุดใหญ่ และมีบั๊กความร้ายแรงสูง คือ MS15-034 ร่วมอยู่ด้วย ตอนนี้ถ้าใครดูแลเซิร์ฟเวอร์รุ่นที่ได้รับผลกระทบแล้วยังรีรอไม่อัพเดต เซิร์ฟเวอร์ของท่านอาจจะถูกยิงให้แครชทั้งเครื่องได้ง่ายๆ ด้วยคำสั่งเดียว

การส่งคำสั่งด้วย curl เพียงบรรทัดเดียวสามารถทำให้เซิร์ฟเวอร์แครชไปทั้งเครื่องได้ เพราะ HTTP.sys เป็นไดร์เวอร์ระดับเคอร์เนล ช่องโหว่นี้เกิดจากการรับค่าใน HTTP Header ที่ฟิลด์ Range ผิดพลาด หากใส่ค่าใหญ่เกินไปก็สามารถทำให้เคอร์เนลแครชได้ทันที

นอกจากจะทำให้เซิร์ฟเวอร์แครชได้แล้ว ช่องโหว่นี้อาจจะทำให้แฮกเกอร์ดึงข้อมูลจากเครื่อง หรือรันโค้ดในเซิร์ฟเวอร์ได้ อย่างไรก็ตาม ยังไม่มีกระบวนการแฮกเหล่านั้นเผยแพร่ออกมาสู่สาธารณะ

ทาง Internet Storm Center ออกมาเตือนว่าพบการยิงเครื่องให้แครชแบบนี้บนเครื่องล่อ (honeypot) บางเครื่องแล้ว และดูเหมือนว่าแฮกเกอร์กำลังยิงไปทั่วอินเทอร์เน็ต ดังนั้นผู้ดูแลระบบทุกคนควรเร่งปิดช่องโหว่ไม่ว่าจะลงแพตช์, ปิดตัวเลือก Kernel Caching, หรือจะเพิ่มกฏของ IPS เพื่อบล็อคการยิงแบบนี้ออกไป

ที่มา - Internet Storm Center, The Register

Get latest news from Blognone

Comments

By: aimakung
AndroidUbuntuWindowsIn Love
on 17 April 2015 - 13:06 #807059

อย่าไรก็ตาม ยังไม่มีกระบวนการแฮกเหล่านั้นเผยแพร่ออกมาสู่สาธารณะ >>> อย่างไรก็ตาม

By: panurat2000
ContributorSymbianUbuntuIn Love
on 17 April 2015 - 14:13 #807095 Reply to:807059
panurat2000's picture

ตอนนี้ถ้าใครดูและเซิร์ฟเวอร์รุ่นที่ได้รับผลกระทบแล้วยังรีรอไม่อัพเดต

ดูและ => ดูแล

By: bluezip
AndroidUbuntuWindows
on 17 April 2015 - 13:10 #807063

พูถึงวิธีการขนาดนี้แล้ว น่าจะทำได้หลายคน

By: LazarusSP1
ContributoriPhone
on 17 April 2015 - 14:37 #807107 Reply to:807063

ตอนนี้เหมือนแมวไล่จับหนูครับ แอดมินใครช้า ก็เจอดีเลยทีเดียว

By: lew
FounderJusci's WriterMEconomicsAndroid
on 17 April 2015 - 18:25 #807164 Reply to:807063
lew's picture

ในที่มามีให้ copy/paste ไปยิงกันได้เลยครับ :|

lewcpe.com, @wasonliw

By: heart
ContributoriPhone
on 17 April 2015 - 13:28 #807070
heart's picture

กระบวนการแฮก ออกมาสู่สาธารณะเพียบแล้วครับ Twitter ยังมีเลย

มีผลกับ IIS ย้อนหลังไปหลายปี จนถึงปัจจุบัน
รวมถึง Windows Server ที่ไม่มี IIS แต่มีการใช้งาน HTTP.sys ด้วย
หมายความว่า ไม่จำเป็นต้องเป็น IIS เสมอไป แค่เป็น Windows Server ก็ควรอัพเดท patch แล้ว

By: easyduck
iPhoneAndroidRed HatWindows
on 17 April 2015 - 14:26 #807103
easyduck's picture

เหนื่อยแอดมินเลยทีนี้

By: thep497
Windows PhoneAndroidWindows
on 17 April 2015 - 15:05 #807116
thep497's picture

Server ผมเปิด Auto Update ระบบ up ให้ตั้งแต่เมื่อคืนแล้วครับ สบายไป

By: GoblinKing
Windows PhoneWindows
on 17 April 2015 - 16:55 #807143
GoblinKing's picture

IISJ อะ

By: Jonathan_Job
WriteriPhoneUbuntuWindows
on 17 April 2015 - 22:34 #807219
Jonathan_Job's picture

FYI ครับ
สำหรับใครที่ใช้ 8.1 หรือ 2012 R2 แล้วไม่มี KB3042553 (MS15-034) ลิสต์อยู่ใน Windows Update แล้วพยายามโหลดไฟล์ "Windows8.1-KB3042553-x64.msu" มาติดตั้งเองแล้วเจอปัญหา "This update is not applicable to your computer" ให้ลองตรวจสอบว่าเครื่องนี้ติดตั้ง "Update 1" ( KB2919355 ) แล้วหรือยัง เพราะ KB3042553 จะไม่สามารถติดตั้งบน RTM ได้

ถ้าเกิดไม่มีแล้วจะลง KB2919355 จะต้องลง KB เหล่านี้ตามลำดับ (KB2919442 > clearcompressionflag.exe > KB2919355 > KB2932046 > KB2959977 > KB2937592 > KB2938439 > KB2934018)

By: thanathornboss
ContributorWindows PhoneAndroidUbuntu
on 17 April 2015 - 22:36 #807220
thanathornboss's picture

งานงอก...

I am Cortana.
Nice to meet you.