CVE-2015-1635

Суть уязвимости

Уязвимость (MS15-034) в драйвере HTTP.sys позволяет удаленному атакующему выполнить произвольный код на целевой системе. Эксплуатация происходит путем отправки специально сформированного HTTP-запроса с заголовком Range, содержащим недопустимые значения. Это приводит к повреждению памяти и может дать злоумышленнику контроль над системой с правами SYSTEM.

Как исправить

Установите официальный патч от Microsoft. Конкретный номер обновления зависит от версии ОС:

• Windows 7 / Server 2008 R2: Установите обновление KB3042553.
• Windows 8.1 / Server 2012 R2: Установите обновление KB3042553.
• Windows Server 2012: Установите обновление KB3042553.
• Windows 8 / Server 2012: Установите обновление KB3042553.

Порядок действий: 1. Откройте Панель управления -> Центр обновления Windows. 2. Проверьте наличие обновлений. Убедитесь, что в списке установленных обновлений присутствует KB3042553. 3. Или установите обновление вручную, скачав его из Каталога Центра обновления Майкрософт.

После установки обновления перезагрузите сервер.

Временное решение

Если немедленная установка патча невозможна, примените одно из следующих решений:

1. Настройка WAF (Web Application Firewall):

   • Добавьте правило для блокировки HTTP-запросов, содержащих в заголовке Range значения, начинающиеся с bytes=0- или bytes=-1. Пример сигнатуры для ModSecurity: apache SecRule REQUEST_HEADERS:Range "@rx ^bytes=0-|^bytes=-1" "id:100001,phase:1,deny,status:400,msg:'CVE-2015-1635 Exploit Attempt'"

2. Блокировка с помощью IPS/IDS:

   • Активируйте сигнатуры, связанные с CVE-2015-1635 или MS15-034 (например, Snort SID 37012).

3. Ограничение доступа (крайняя мера):

   • Если служба, использующая HTTP.sys (например, IIS), не должна быть публично доступна, ограничьте доступ к портам 80 (HTTP) и 443 (HTTPS) на сетевом экране, разрешив соединения только с доверенных IP-адресов.

Важно: Временные решения лишь снижают риск эксплуатации и не устраняют уязвимость. Установка официального патча обязательна.