แพตช์เซิร์ฟเวอร์ IIS ด่วน โค้ดยิงให้เซิร์ฟเวอร์แครชกระจายทั่วอินเทอร์เน็ต

By: lew

on 17 April 2015 - 12:42 Tags:

Topics:

เมื่อวันอังคารที่ผ่านมาไมโครซอฟท์ออกแพตช์ชุดใหญ่ และมีบั๊กความร้ายแรงสูง คือ MS15-034 ร่วมอยู่ด้วย ตอนนี้ถ้าใครดูแลเซิร์ฟเวอร์รุ่นที่ได้รับผลกระทบแล้วยังรีรอไม่อัพเดต เซิร์ฟเวอร์ของท่านอาจจะถูกยิงให้แครชทั้งเครื่องได้ง่ายๆ ด้วยคำสั่งเดียว

การส่งคำสั่งด้วย curl เพียงบรรทัดเดียวสามารถทำให้เซิร์ฟเวอร์แครชไปทั้งเครื่องได้ เพราะ HTTP.sys เป็นไดร์เวอร์ระดับเคอร์เนล ช่องโหว่นี้เกิดจากการรับค่าใน HTTP Header ที่ฟิลด์ Range ผิดพลาด หากใส่ค่าใหญ่เกินไปก็สามารถทำให้เคอร์เนลแครชได้ทันที

นอกจากจะทำให้เซิร์ฟเวอร์แครชได้แล้ว ช่องโหว่นี้อาจจะทำให้แฮกเกอร์ดึงข้อมูลจากเครื่อง หรือรันโค้ดในเซิร์ฟเวอร์ได้ อย่างไรก็ตาม ยังไม่มีกระบวนการแฮกเหล่านั้นเผยแพร่ออกมาสู่สาธารณะ

ทาง Internet Storm Center ออกมาเตือนว่าพบการยิงเครื่องให้แครชแบบนี้บนเครื่องล่อ (honeypot) บางเครื่องแล้ว และดูเหมือนว่าแฮกเกอร์กำลังยิงไปทั่วอินเทอร์เน็ต ดังนั้นผู้ดูแลระบบทุกคนควรเร่งปิดช่องโหว่ไม่ว่าจะลงแพตช์, ปิดตัวเลือก Kernel Caching, หรือจะเพิ่มกฏของ IPS เพื่อบล็อคการยิงแบบนี้ออกไป

ที่มา - Internet Storm Center, The Register

Hiring! บริษัทที่น่าสนใจ

CIMB THAI Bank

MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank

CDG GROUP

Provider of IT solutions to public, state, and private sectors in Thailand for over 56 years

KKP Dime

KKP Dime บริษัทในเครือเกียรตินาคินภัทร

Comments

By: aimakung

on 17 April 2015 - 13:06 #807059

อย่าไรก็ตาม ยังไม่มีกระบวนการแฮกเหล่านั้นเผยแพร่ออกมาสู่สาธารณะ >>> อย่างไรก็ตาม

By: panurat2000

on 17 April 2015 - 14:13 #807095 Reply to:807059

ตอนนี้ถ้าใครดูและเซิร์ฟเวอร์รุ่นที่ได้รับผลกระทบแล้วยังรีรอไม่อัพเดต

ดูและ => ดูแล

By: bluezip

on 17 April 2015 - 13:10 #807063

พูถึงวิธีการขนาดนี้แล้ว น่าจะทำได้หลายคน

By: LazarusSP1

on 17 April 2015 - 14:37 #807107 Reply to:807063

ตอนนี้เหมือนแมวไล่จับหนูครับ แอดมินใครช้า ก็เจอดีเลยทีเดียว

By: lew

on 17 April 2015 - 18:25 #807164 Reply to:807063

ในที่มามีให้ copy/paste ไปยิงกันได้เลยครับ :|

lewcpe.com, @wasonliw

By: heart

on 17 April 2015 - 13:28 #807070

กระบวนการแฮก ออกมาสู่สาธารณะเพียบแล้วครับ Twitter ยังมีเลย

มีผลกับ IIS ย้อนหลังไปหลายปี จนถึงปัจจุบัน
รวมถึง Windows Server ที่ไม่มี IIS แต่มีการใช้งาน HTTP.sys ด้วย
หมายความว่า ไม่จำเป็นต้องเป็น IIS เสมอไป แค่เป็น Windows Server ก็ควรอัพเดท patch แล้ว

By: easyduck

on 17 April 2015 - 14:26 #807103

เหนื่อยแอดมินเลยทีนี้

By: thep497

on 17 April 2015 - 15:05 #807116

Server ผมเปิด Auto Update ระบบ up ให้ตั้งแต่เมื่อคืนแล้วครับ สบายไป

By: GoblinKing

on 17 April 2015 - 16:55 #807143

IISJ อะ

By: Jonathan_Job

on 17 April 2015 - 22:34 #807219

FYI ครับ
สำหรับใครที่ใช้ 8.1 หรือ 2012 R2 แล้วไม่มี KB3042553 (MS15-034) ลิสต์อยู่ใน Windows Update แล้วพยายามโหลดไฟล์ "Windows8.1-KB3042553-x64.msu" มาติดตั้งเองแล้วเจอปัญหา "This update is not applicable to your computer" ให้ลองตรวจสอบว่าเครื่องนี้ติดตั้ง "Update 1" ( KB2919355 ) แล้วหรือยัง เพราะ KB3042553 จะไม่สามารถติดตั้งบน RTM ได้

ถ้าเกิดไม่มีแล้วจะลง KB2919355 จะต้องลง KB เหล่านี้ตามลำดับ (KB2919442 > clearcompressionflag.exe > KB2919355 > KB2932046 > KB2959977 > KB2937592 > KB2938439 > KB2934018)

By: thanathornboss

on 17 April 2015 - 22:36 #807220

งานงอก...

I am Cortana.
Nice to meet you.

Main menu