Microsoft dicht kritiek lek in http.sys

Microsoft heeft tijdens patch tuesday patches uitgebracht voor Windows 7, 8, 8.1, Server 2008 R2, Server 2012 en Server 2012 R2 die een kritiek beveiligingsgat in de http.sys-module moeten dichten. Het lek zou remote code execution mogelijk maken. Ook Office bevat een kritiek lek.

In Security Bulletin MS15-034 beschrijft Microsoft de inmiddels gedichte kwetsbaarheid in http.sys. Volgens de softwaregigant kunnen aanvallers met een gemanipuleerde http-request op afstand code uitvoeren op een kwetsbaar Windows-systeem. Microsoft noemt het beveiligingsgat 'kritiek', de hoogste classificatie die dergelijke kwetsbaarheden kunnen krijgen. Systeembeheerders en gebruikers van de genoemde Windows-versies wordt dan ook dringend aangeraden om de patch te installeren.

De patch, die de wijze waarop http.sys omgaat met requests aanpast, maakt deel uit van patch tuesday, de maandelijkse releaseronde van bugfixes en patches voor diverse Windows-versies. Onduidelijk is waarom Microsoft de patch voor http.sys niet eerder heeft uitgebracht, maar de softwaregigant geeft wel aan dat er tot nu toe geen gevallen bekend zijn waarbij de kwetsbaarheid daadwerkelijk door kwaadwillenden is misbruikt.

Een beveiligingsonderzoeker van de firma Tripwire laat aan TechTarget weten dat de kwetsbaarheid vermoedelijk deel uitmaakt van kernel caching support voor IIS, Microsofts webserver. Daarnaast spreekt hij de vrees uit dat de genoemde kwetsbaarheid op korte termijn misbruikt gaat worden door aanvallers.

Naast de beveiligingsproblemen in http.sys heeft Microsoft patches voor diverse Office-versies uitgebracht, waarvan MS15-033 ook het stempel 'kritiek' heeft gekregen. Ook in dit geval is remote code execution mogelijk als de gebruiker een gemanipuleerd Office-bestand opent.

Door Dimitri Reijerman

Redacteur

Feedback • 15-04-2015 10:30 35

15-04-2015 • 10:30

35

Lees meer

Internet Storm Center signaleert actief misbruik van lek in http.sys
Internet Storm Center signaleert actief misbruik van lek in http.sys Nieuws van 16 april 2015
Microsoft patcht Stuxnet- en Freak-bugs in Windows
Microsoft patcht Stuxnet- en Freak-bugs in Windows Nieuws van 11 maart 2015
Onderzoekers omzeilen beschermingsmechanismen Windows via gui-lek
Onderzoekers omzeilen beschermingsmechanismen Windows via gui-lek Nieuws van 11 februari 2015
Patch voor Visual Studio 2010 zorgt voor pc-crashes
Patch voor Visual Studio 2010 zorgt voor pc-crashes Nieuws van 11 februari 2015
Microsoft: Google had ongepatcht Windows-lek niet naar buiten moeten brengen
Microsoft: Google had ongepatcht Windows-lek niet naar buiten moeten brengen Nieuws van 12 januari 2015
Microsoft stopt met details geven over gedichte lekken in Windows
Microsoft stopt met details geven over gedichte lekken in Windows Nieuws van 9 januari 2015
Microsoft geeft touchpads nieuwe opties met update Windows 8.1
Microsoft geeft touchpads nieuwe opties met update Windows 8.1 Nieuws van 6 augustus 2014
Gerucht: Windows 8.1 Update 2 arriveert 12 augustus
Gerucht: Windows 8.1 Update 2 arriveert 12 augustus Nieuws van 21 juli 2014
'Update voor Windows 8.1 gaat prestaties verbeteren'
'Update voor Windows 8.1 gaat prestaties verbeteren' Nieuws van 25 januari 2014
Microsoft dicht misbruikte Internet Explorer-lekken
Microsoft dicht misbruikte Internet Explorer-lekken Nieuws van 9 oktober 2013
Microsoft geeft tijdelijke fix vrij voor lek in IE6, -7 en -8
Microsoft geeft tijdelijke fix vrij voor lek in IE6, -7 en -8 Nieuws van 1 januari 2013
Meer producten en artikelen
Netwerk en systeembeheer Microsoft Windows

Reacties (35)

-Moderatie-faq
35
35
25
2
0
0
Wijzig sortering
Henk Poley 15 april 2015 10:53
Als ik het goed begrijp geeft dit voornamelijk problemen als je een IIS webserver draait? Of wordt http.sys ook gebruikt aan de aanvraag / client kant? IIS kan je natuurlijk ook draaien op de normale 'desktop' Windows. Maar is ook bijv. IE getroffen? De patch KB3042553 is in ieder geval zojuist geïnstalleerd op m'n Windows 7 Home Premium. "Internet Information Services" is niet aangevinkt onder "Windows-onderdelen in- of uitschakelen".

Middels Process Hacker zie ik wel dat http.sys op dat systeem ingeladen is en een handle heeft, maar op zich niet waarom die geladen is.

Een `nmap -Pn -sV` scan naar deze machine wijst uit dat poorten 2869, 5357 & 10243 gebruik maken van "Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)". `netstat /a /b` op de machine zegt dat deze van CrashPlanService.exe zijn, m'n bestand backup systeem dus. Of ze de kernel mode cache gebruiken, weet ik zo even nog niet. Met "Windows Grep" kom ik iig. geen keywords tegen binnen die applicatie (lijkt 0-compressie in de jars te gebruiken, dus grep zou moeten werken).

Meer info:

https://twitter.com/cyberkryption/status/588263341971398657 - PoC in python & C
https://twitter.com/matalaz/status/588260407078424577 - wijziging analyse van http.sys
https://twitter.com/mattiasgeniar/status/588261373928468480 - blog post
https://twitter.com/NexusFandom/status/588254994203303937 - Win 2012 blue screen door `telnet`
https://support.microsoft.com/kb/3042553 - De patch-pagina van Microsoft
https://twitter.com/wincmdfu/status/588237264439894016 - HTTP kernel cache inhoud controleren
https://twitter.com/dakami/status/588159662513594373 - Citrix heeft dit probleem gerapporteerd, mogelijk omdat het al misbruikt werd (0day)

[Reactie gewijzigd door Henk Poley op 2 augustus 2024 02:27]

wildhagen
@Henk Poley15 april 2015 11:03
Klopt, deze http.sys wordt door IIS gebruikt. Als je geen IIS geinstalleerd hebt zul je deze patch dus ook niet zomaar aangeboden krijgen via Windows Update.

Let wel op dat sommige applicaties op de achtergrond ook IIS kunnen installeren/gebruiken, ook al heb je dat zelf niet door.

Http.sys wordt niet voor de client kant gebruikt, het is puur voor IIS/webserver zelf, dus server-side.
.oisyn Moderator Devschuur® @wildhagen15 april 2015 12:29
Klopt, deze http.sys wordt door IIS gebruikt
HTTP afhandeling gebeurt op kernel niveau (dmv http.sys dus), om op die manier content direct uit de cache te kunnen leveren zonder tussenkomst van user proces. Een applicatie kan zichzelf registreren voor bepaalde URL's middels de HTTP Server API. IIS (vanaf versie 6 iig) is niets meer dan een client van de HTTP Server API.

Deze patch staat dus geheel los van IIS, iedere applicatie kan gewoon van de HTTP Server API gebruik maken zonder dat IIS geïnstalleerd is. Het is me op dit moment niet helemaal duidelijk of je alleen kwetsbaar als je een proces hebt draaien dat gebruik maakt van de API, maar dus wel dat je ook zonder IIS kwetsbaar kunt zijn.

[Reactie gewijzigd door .oisyn op 2 augustus 2024 02:27]

TonnyTonny @wildhagen15 april 2015 20:10
Er zijn verschillende delen van het client OS die onder de moterkap OOK http.sys gebruiken, O.a. IPP printer-sharing wat in feite gewoon een webdav dienst op een ander poort-nummer is.
(Wellicht ook .NET remoting services. Weet eigenlijk niet of dit de system http.sys gebruikt of een .NET interne verise heeft. )
Maar de eigenlijke vulnerability is voor zover ik weet op een client OS nooit ingeschakelt en op een server alleen als je de kernel-caching ooit aangezet hebt.
Jan-E @Henk Poley15 april 2015 13:46
Als ik het goed begrijp geeft dit voornamelijk problemen als je een IIS webserver draait?
Als je Apache draait met mod_php heb je deze week weer andere problemen, ook op *nix. Uit de NEWS van PHP 5.4.40 (maar 5.2 t/m 5.6 hebben dit probleem ook):

16 Apr 2015 PHP 5.4.40
- Apache2handler:
. Fixed bug #69218 (potential remote code execution with apache 2.4
apache2handler). (Gerrit Venema)
Henk Poley @Jan-E15 april 2015 13:56
De vraag was eigenlijk meer: zijn er applicaties buiten IIS die ook http.sys gebruiken, en zonder deze patch hetzelfde probleem hebben.

Antwoord is, ja dat kan. Ik noem een mogelijke: CrashPlan. Hoewel het lijkt alsof ze wel HTTP API gebruiken, maar niet de 'kernel mode cache' daarvan.
angelina @Henk Poley15 april 2015 11:04
http.sys is de http handler in Windows. Wordt door IIS gebruikt maar ook door vele andere applicaties die aan http handling doen
CyberDonky 15 april 2015 10:39
Vreemd dat 'Windows update' de update 'Security Update for Windows 7 for x64-based Systems (KB3042553)' niet bij allen komt.
Zal deze dan toch pas met de patch tuesday komen? Voor de mensen die de update al graag willen downloaden die geen risico willen lopen: https://www.microsoft.com...oad/details.aspx?id=46509

[Reactie gewijzigd door CyberDonky op 2 augustus 2024 02:27]

muppet99 @CyberDonky15 april 2015 10:45
Een webserver draaien op Win7 lijkt mij in ieder geval niet handig. Het kan, maar het is niet aan te raden.
Blokker_1999
@muppet9915 april 2015 10:50
Want als je als thuisgebruiker wat wilt ontwikkelen moet je natuurlijk direct investeren in een full blown Server editie van Windows.

Daarnaast is er nog een hoop andere software die gebruik kan maken van IIS en waarvoor deze software dus wel vereist is.
muppet99 @Blokker_199915 april 2015 10:53
Full Blown server hoeft inderdaad niet, maar meestal staat deze dan ook niet open naar het internet ;)
boe2 @Blokker_199915 april 2015 11:58
Een IIS Express voor development doeleinden ga je dan ook niet publiek serveren.
Daarnaast is er nog een hoop andere software die gebruik kan maken van IIS en waarvoor deze software dus wel vereist is.
:?

[Reactie gewijzigd door boe2 op 2 augustus 2024 02:27]

MSalters @Blokker_199915 april 2015 17:06
Voor dat soort situaties heb je BizSpark en DreamSpark. Full-blown server edities zijn vooral duur omdat je ze in productie mag gebruiken, developer licenties zijn typisch een stuk goedkoper.
MAX3400
@muppet9915 april 2015 10:53
Een webserver draaien op Win7 lijkt mij in ieder geval niet handig. Het kan, maar het is niet aan te raden.
Een webserver? Ik neem aan een website gehost op IIS en niet op Apache, bijvoorbeeld. Daarnaast kan je heel goed een webserver hebben maar er staat nergens (alhoewel aannemelijk) dat er ook daadwerkelijk een website / root gedefinieerd moet zijn en dat de webserver ook te bereiken is en over welke poorten we het dan hebben zoals 80, 443 of een andere poort.

Ik geloof niet dat de kernel van Windows 7 op veel vlakken verschilt van Windows 2008. De reden/keuze om een Microsoft-based webserver te draaien op deze OS'en, is dus van een andere categorie en lijkt me buiten beschouwing van het issue te liggen.

Ik vind het trouwens opvallend dat in de MSE Server 2012 Core niet genoemd wordt als applicable product; alsof er dus een issue is in http.sys in combinatie met een GUI op je OS.
maartenvdezz @MAX340015 april 2015 11:00
Ze hebben de UI feature toch niet apart vermeld als zijnde de oorzaak van het probleem? Ik denk niet dat het uitmaakt of er een andere UI is geinstalleerd... Het blijft hetzelfde OS.
CyberDonky @muppet9915 april 2015 10:48
Nee klopt, is ook zo hoor. Ging even eigenlijk om het feit van dat de update nog niet is uitgebracht terwijl geacht wordt deze te downloaden via Windows Update (Zie critical pagina van Windows over dit lek).
Rudie_V @CyberDonky15 april 2015 10:49
Dan moet je wel IIS wel geïnstalleerd hebben op je Windows 7 machine. :)
https://technet.microsoft.com/nl-nl/library/cc725762.aspx
angelina @Rudie_V15 april 2015 11:01
IIS is niet de enige die http.sys gebruikt. Als je bv een .NET app hebt die HttpListener class gebruikt dan gebruikt ie onder water http.sys. En er zullen nog veel meer http wrapper classes zijn die http.sys gebruiken
Rudie_V @angelina15 april 2015 11:11
Ow dat zou best kunnen, dat weet ik niet. Ik baseerde me op wat er in dit artikel staat:
Een beveiligingsonderzoeker van de firma Tripwire laat aan TechTarget weten dat de kwetsbaarheid vermoedelijk deel uitmaakt van kernel caching support voor IIS, Microsofts webserver.
Maar dat kan dus dan een tweede verklaring zijn waarom CyberDonky aankaartte dat niet iedereen deze update kreeg, als je die .NET dan ook niet heb geinstalleerd dan heb je deze update ook niet nodig.
Zezura @angelina15 april 2015 11:20
Ik neem aan ook c++ waarbij je Microsoft http implementatie gebruikt.
Ik weet niet of Microsoft een win32 api heeft voor http.
TonnyTonny @Zezura15 april 2015 20:11
Ja
Mizgala28 @CyberDonky15 april 2015 10:50
Die kreeg ik dus wel.
CyberDonky @Mizgala2815 april 2015 10:53
Vreemd. Ik ga hier even naar kijken. Thanks for the heads up
Auredium 15 april 2015 10:39
Nog meer onveiligheid in HTTP is niet echt wenselijk. Al helemaal niet als het aan de kant van het OS zelf ligt in een systeembestand (het is dus niet de schuld van http zelf). Goed dat het wordt gedicht...altijd te laat maar nooit ongewenst als zoiets wordt gedaan. Overigens doet http.sys ook naar https luisteren.

Meer info over http.sys.
http://www.codeproject.co...p-sys-with-HttpSysManager
(er zijn wellicht betere links)

[Reactie gewijzigd door Auredium op 2 augustus 2024 02:27]

vali 15 april 2015 10:54
De update gelijk maar geïnstalleerd op mijn 2008r2 server :) Je krijgt hem inderdaad alleen als je IIS geïnstalleerd hebt, want op mijn 2012R2 die hyper-v draait kreeg de update niet.
maartenvdezz 15 april 2015 10:32
Vista en 2008 hebben dus nergens last van? Vreemd...
Anoniem: 665880 @maartenvdezz15 april 2015 10:34
Of ze brengen voor Vista en 2008 geen patch uit.. ;)
wildhagen
@Anoniem: 66588015 april 2015 10:35
Vista en Server 2008 worden wel degelijk nog supported hoor. In dit geval is dit lek simpelweg niet in die versies aanwezig, en is er dus ook geen patch voor dit specifieke lek uitgekomen.

Er zijn wel andere patches uitgekomen in deze patch tuesday voor Vista en Server 2008.
XzeroD @wildhagen15 april 2015 10:54
Ik snap niet waar je vandaan haalt dat het niet aanwezig is ins 2008, in het artikel wat gelinkt is staat duidelijk Server 2008 R2 tussen. De patch voor 2008 R2 x64 system is hier te downloaden: https://www.microsoft.com...oad/details.aspx?id=46480.

Daarnaast is de patch mee gekomen met de updates van vandaag via windows update.

[Reactie gewijzigd door XzeroD op 2 augustus 2024 02:27]

wildhagen
@XzeroD15 april 2015 10:55
Server 2008 R2 is niet hetzelfde als Server 2008, dat zijn verschillende versies! Voor de 1e is wel een patch idd, maar voor de laatste (waar ik op reageerde) dus niet.

Server 2008 R2 is zelfde generatie als Windows 7, Server 2008 is zelfde generatie als Windows Vista.

[Reactie gewijzigd door wildhagen op 2 augustus 2024 02:27]

XzeroD @wildhagen15 april 2015 10:58
Weer wat geleerd! Zit er zoveel verschil tussen 2008 / R2 dat er een aparte benaming aan zit dan?
MAX3400
@XzeroD15 april 2015 11:03
Zelfs de examens van Microsoft voor MCSA en MCSE hebben aparte vraagstellingen voor R2-versies.

Afgezien van enkele kleine wijzigingen in de kernel, zitten er relatief grote wijzigingen in de Roles, Features en de werking van sommige zaken.
maartenvdezz @XzeroD15 april 2015 11:08
Ze draaien zelfs op een andere kernel (6.1). Server 2008 is de "vista server" en R2 de "7 server" als ik het even zo mag noemen.
Loller1
@XzeroD15 april 2015 11:20
Server 2008 R2 is de Windows 7 versie van Server. Server 2008 is de Vista variant en heeft dus geen patch.
TonnyTonny 15 april 2015 20:13
Iemand enig idee hoet het zit met IIS 6.0 op WIndows 2003 ?
Die is nog steeds in extended support maar ik kan nergens ook maar 1 bit info vinden wat daar de situatie is.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq