漏洞可导致严重危害
微软在4月的补丁日(北京时间4月15日)公布了一个windows http.sys远程代码执行漏洞,攻击者可利用该漏洞导致目标系统蓝屏,亦可触发远程代码在目标系统中以系统权限执行,用户的网站有可能因此而遭受篡改、被挂黑链、发生用户信息泄露,甚至遭到更严重的攻击。该漏洞的危害评级为“严重”,cve漏洞编码为cve-2015-1635。
漏洞影响广泛
http.sys是微软为了优化iis服务器性能引入的内核模式驱动程序,微软表示,安装了微软iis7.0及以上版本的windows server 2008 r2、windows server 2012、windows server 2012 r2、windows 7、windows 8和windows 8.1服务器操作系统均受到此次漏洞影响。也就是说,若服务器的操作系统为上述提到的版本,那么运行在这些服务器上的网站都有可能受到危害。
此外,深信服全网扫描平台监测数据显示,受到此次安全事件影响的地区范围较大。其中,以下5个城市为全国受影响较严重的地区:
受windows http.sys远程代码执行漏洞影响较严重的城市top 5
漏洞修复建议
1.及时升级微软官方安全补丁微软已于北京时间4月15日发布漏洞补丁包,用户可通过windows update获取补丁包并及时进行升级。微软发布的漏洞公告:http://technet.microsoft.com/security/bulletin/ms15-034
2.禁用iis内核缓存降低漏洞影响用户还可以通过禁用iis内核缓存降低漏洞带来的影响,待升级官方补丁后,再启用iis内核缓存。禁用iis内核缓存的官方教程:https://technet.microsoft.com/en-us/library/cc731903(v=ws.10).aspx
3.检查防护设备的攻击特征库是否已及时更新特征库及时更新对防御漏洞攻击也起着至关重要的作用,用户可通过在下一代防火墙、ips等设备上输入漏洞的cve编码,查看设备的攻击特征库是否已进行及时更新。
温馨提示
深信服下一代防火墙ngaf的ips特征库已于漏洞公布后的24小时内及时进行了更新,所有在线部署的ngaf均可自动升级ips特征库,用户无需担心。
同时,我们还提供windows http.sys远程代码执行漏洞检测服务,若您无法确定自身的网站是否会受到该漏洞的影响,可联系凯发注册网站的工程师为您进行漏洞检测。
windows http.sys远程代码执行漏洞在线检测
如果您希望申请我们的漏洞检测服务或者试用ngaf,可通过点击https://www.sangfor.com.cn/product/protest.html或者拨打我们的热线电话400-806-6868申请检测服务或测试设备,我们的工程师将第一时间和您取得联系!