Zur Einführung: MS15-034 ist eine kritische Sicherheitslücke in Microsofts HTTP.sys, die bei Ausnutzung zu Remote-Code-Ausführung (RCE) oder Denial-of-Service-Angriffen (DoS) führen kann. Angesichts der weltweiten Verbreitung von Windows-Servern ist die Schwere dieser Sicherheitslücke nicht zu unterschätzen. Doch was genau ist MS15-034? Welche Auswirkungen hat sie auf Systeme und welche Maßnahmen sind zur Behebung erforderlich? Dieser Blog bietet einen detaillierten Einblick in dieses Thema.
Der Hauptteil dieser Diskussion beginnt mit einem Überblick über HTTP.sys. Dabei handelt es sich um einen Kernelmodus-Gerätetreiber, der HTTP-Anfragen auf Kernelebene entgegennimmt. Dadurch bietet er eine höhere Leistung als HTTP-Listener im Benutzermodus. Dieser Vorteil birgt jedoch auch ein höheres Risiko: Kernel-Schwachstellen wie MS15-034 können äußerst schädlich sein, da sie Angreifern Zugriff auf den Kernelbereich ermöglichen.
MS15-034 nutzt primär den Range-HTTP-Header aus, der für Teilinhaltsanfragen verwendet wird. Ein speziell präparierter Wert im Range-Header kann dazu führen, dass HTTP.sys ihn falsch interpretiert. Die Schwachstelle wird hauptsächlich durch zwei Aspekte ausgelöst: einen großen Wert im Range-Header und das Fehlen des If-Range-Headers. Im Wesentlichen verleitet der Angreifer den Server dazu, mehr Daten zurückzugeben als vorgesehen, was einen Pufferüberlauf verursacht. Dieser Überlauf kann zu einem Denial-of-Service-Angriff (DoS) oder potenziell zur Ausführung unkontrollierten Codes führen.
Die Auswirkungen dieser Schwachstelle können verheerend sein. Im Falle eines DoS-Angriffs kann der Systemabsturz geschäftskritische Dienste unterbrechen und die Funktionsfähigkeit des Unternehmens gefährden. Im schlimmsten Fall kann die Remote-Code-Ausführung (RCE) dem Angreifer die Kontrolle über das System ermöglichen. Der Angreifer kann Programme installieren, Daten einsehen, ändern oder löschen sowie neue Konten mit vollen Benutzerrechten erstellen.
Die Sicherheitslücke betrifft zahlreiche Windows-Versionen, darunter Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows 8.1 und Windows Server 2012 R2. Sie ist besonders gefährlich für öffentlich zugängliche Webserver, da sie aus der Ferne ausgenutzt werden kann.
Es muss klargestellt werden, dass das bloße Vorhandensein von HTTP.sys auf einem Server diesen nicht automatisch angreifbar macht. HTTP.sys muss an eine IP-Adresse und einen Port gebunden sein und auf Anfragen warten, damit die Sicherheitslücke besteht. Microsoft hat darauf hingewiesen, dass dies selten vorkommt, was etwas Entlastung bietet.
Glücklicherweise können Systemadministratoren mehrere Maßnahmen ergreifen, um diese Bedrohung abzuwehren. Zunächst ist es wichtig, die Systeme auf dem neuesten Stand zu halten. Die regelmäßigen Sicherheitsupdates von Microsoft enthalten oft Korrekturen für solche Schwachstellen, daher ist es entscheidend, diese Patches zeitnah zu installieren.
In anderen Fällen können restriktive Firewall-Regeln helfen, unerwünschten Datenverkehr zu blockieren. Abhängig von den Fähigkeiten der Firewall ist es unter Umständen möglich, Anfragen mit einem großen Bereichsheader zu blockieren, die in der Regel auf einen Angriff hinweisen, der diese Schwachstelle ausnutzt.
Eine weitere Möglichkeit besteht darin, einen Reverse-Proxy oder Load Balancer zu verwenden. Diese können so konfiguriert werden, dass sie eingehenden Datenverkehr filtern und schädliche Header entfernen, bevor diese HTTP.sys erreichen. Allerdings hat auch diese Lösung Nachteile. Beispielsweise könnten legitime Benutzer, die große Dateien anfordern, blockiert werden.
Zusammenfassend lässt sich sagen, dass MS15-034 eine gefährliche Sicherheitslücke darstellt, deren Auswirkungen jedoch behebbar sind. Regelmäßige Systemaktualisierungen, restriktive Firewall-Regeln und gegebenenfalls der Einsatz eines Reverse-Proxys oder Load Balancers sind wirksame Maßnahmen zur Minderung dieser Schwachstelle. Wie immer ist ständige Wachsamkeit und proaktives Handeln entscheidend. Es ist unerlässlich, sich über die neuesten Sicherheitslücken auf dem Laufenden zu halten und die erforderlichen Patches und Updates regelmäßig zu installieren. Die digitale Welt entwickelt sich ständig weiter, und damit auch die Bedrohungen, die sie birgt.