Windows服务器易受IIS资源耗尽DoS攻击漏洞预警

事件描述

2019年2月20日,微软应急响应中心报告了一个包含HTTP / 2恶意请求发送到运行Internet信息服务(IIS)的Windows Server时触发的DOS攻击。HTTP / 2规范允许客户端使用任意数量的SETTINGS参数指定任意数量的SETTINGS帧,在某些情况下,过多的设置可能导致服务变得不稳定,并可能导致临时CPU使用率达到峰值,直到连接超时关闭连接。该攻击本质上是通过客户端发起的恶意HTTP / 2包含较多SETTINGS参数指定较多SETTINGS帧请求到运行IIS 10的服务器,导致系统CPU使用率达到100%进而拒绝服务。

深信服安全团队第一时间响应并发布预警信息,并将持续跟踪事态进展。

IIS组件介绍

Internet Information Services(IIS)互联网信息服务是Microsoft公司提供的可扩展Web服务器,支持HTTP,HTTP/2,HTTPS,FTP,FTPS,SMTP和NNTP等。起初用于Windows NT系列,随后内置在Windows 2000、Windows XP Professional、Windows Server 2003和后续版本一起发行。IIS只适用于Windows系统,不适用于其他操作系统。目前IIS一共发行12个版本,从IIS 1.0版本至IIS 10.0版本,IIS 1.0-4.0已经基本退出市场,IIS 5.0-10.0是Web市场主要使用的网站服务器。

漏洞描述

Windows服务器易受IIS资源耗尽DoS攻击的原理是通过发送HTTP/2恶意请求到基于Windows 10或者Windows Server 2016搭建的IIS服务器上,导致系统的CPU临时峰值达到100%且无法释放,进而导致系统服务DOS。恶意请求主要是指请求体中包含较多的SETTINGS参数且同时指定了较多的SETTINGS帧,在此情况下导致此漏洞问题。

此漏洞利用有几点必要条件:首先,目前只有在Windows 10上运行的IIS 或在Windows Server 2016上运行的IIS默认支持HTTP /2协议,其他IIS版本不支持。此外,IIS目前仅支持TLS上的HTTP / 2,需要做相关TLS配置后方可使用HTTP /2。在Windows 10上与运行IIS的Web服务器建立HTTPS连接时,如果客户端和服务器都支持HTTP / 2,则使用HTTP / 2;如果有一方不支持HTTP /2 ,则降为使用默认HTTP /1.1或者HTTP /1.0。

影响范围

目前据统计,在全球范围内对互联网开放IIS 10.0网站的资产数量多达1228790台,其中使用HTTPS的网站数量达到402145以上。

目前受影响的IIS版本:

IIS 10.0 (Windows 10版本1607,1703,1709和1803、Windows Server 2016和Windows Server版本1709,1803)

参考链接

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV190005

https://www.bleepingcomputer.com/news/security/windows-servers-vulnerable-to-iis-resource-exhaustion-dos-attacks/

                           

解决方案

修复建议

微软官方尚未发现此漏洞的任何缓解因素和解决方法,但是推荐用户采取如下措施:

1. 安装二月份非安全更新,参考如下链接:

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV190005

2. 微软官方添加定义了HTTP / 2请求中包含SETTINGS阈值的自定义功能,在运行IIS的Windows系统上设置阈值后,IIS将终止连接并释放CPU资源。IIS管理员可根据实际情况新增此功能注册表,参考如下链接:

https://support.microsoft.com/en-us/help/4491420/define-thresholds-on-the-number-of-http-2-settings-parameters-exchange

注意:首次添加或更改时,需要重新启动计算机或重新启动服务才能读取已配置的注册表值。



QQ代刷网

发表评论 取消回复

电子邮件地址不会被公开。 必填项已用*标注