Abo
  • Services:

Microsoft IIS: Lücke in Windows-Webserver erlaubt Codeausführung

Microsoft hat mit dem jüngsten Windows-Update eine schwerwiegende Sicherheitslücke in der HTTP-Verarbeitung behoben. Der entsprechende HTTP-Code läuft als Kerneltreiber.

Artikel veröffentlicht am , Hanno Böck
Der verwundbare Code im HTTP.sys-Treiber
Der verwundbare Code im HTTP.sys-Treiber (Bild: Screenshot)

Eine Sicherheitslücke in der Windows-Komponente HTTP.sys erlaubt Angreifern unter Umständen die Ausführung von bösartigem Code. Was die Lücke besonders schwerwiegend macht: HTTP.sys ist ein Kerneltreiber, damit erlaubt die Lücke die Ausführung von Code mit Systemrechten.

Erste Exploitcodes verfügbar

Stellenmarkt
  1. Daimler AG, Sindelfingen
  2. Derby Cycle Werke GmbH, Cloppenburg

Bislang sind nur wenige Details zu der Sicherheitslücke bekannt. Laut dem Security Bulletin von Microsoft sind Windows 7, 8 und 8.1, sowie die Server-Versionen 2008 und 2012 betroffen. Die Lücke hat die Id CVE-2015-1635 erhalten.

Inzwischen sind erste Exploitcodes aufgetaucht, die allerdings nur auf das Vorhandensein der Lücke testen und nicht direkt die Ausführung von Code ermöglichen. Auch für Metasploit gibt es bereits ein Modul, welches auf das Vorhandensein der Lücke testet. Einige Nutzer berichteten, dass die Tests Server zum Absturz bringen können, daher sollten sie nur mit Vorsicht eingesetzt werden.

Fehlender Check des Range-Headers

Die Sicherheitslücke wird offenbar dadurch ausgelöst, wenn man einen HTTP-Range-Header mit besonders großen Werten an den Server schickt.

Nutzer von Windows-Servern sollten ihr System umgehend aktualisieren. Als Workaround kann laut Microsoft auch das Kernel-Caching des IIS-Webservers deaktiviert werden. Neben der kritischen Lücke in HTTP.sys hat Microsoft insgesamt zehn weitere Security Bulletins und dazugehörige Updates veröffentlicht.



Anzeige
Top-Angebote
  1. 39,98€ (Vergleichspreis ca. 72€)
  2. ab 519€ bei Alternate lieferbar
  3. (heute Samsung HT-J4500 5.1-Heimkino-System für 149€ statt 168,94€ im Vergleich)
  4. (Zugang für die ganze Familie!)

the_wayne 24. Apr 2015

Ack! Aber leider gibt es immer wieder Leute, die sich für was besseres halten. Und...

TheUnichi 16. Apr 2015

Andere kriegen es auf die Reihe und sind zufrieden damit, also was willst du uns hier...

Lala Satalin... 16. Apr 2015

Was ein wildes herum geklicke.... Man konnte so gut wie nichts sehen. :D


Folgen Sie uns
       


Infiltrator Demo mit DLSS und TAA

Wir haben die Infiltrator Demo auf einer Nvidia Geforce RTX 2080 Ti mit DLSS und TAA ablaufen lassen.

Infiltrator Demo mit DLSS und TAA Video aufrufen
Athlon 200GE im Test: Celeron und Pentium abgehängt
Athlon 200GE im Test
Celeron und Pentium abgehängt

Mit dem Athlon 200GE belebt AMD den alten CPU-Markennamen wieder: Der Chip gefällt durch seine Zen-Kerne und die integrierte Vega-Grafikeinheit, die Intel-Konkurrenz hat dem derzeit preislich wenig entgegenzusetzen.
Ein Test von Marc Sauter

  1. AMD Threadripper erhalten dynamischen NUMA-Modus
  2. HP Elitedesk 705 Workstation Edition Minitower mit AMD-CPU startet bei 680 Euro
  3. Ryzen 5 2600H und Ryzen 7 2800H 45-Watt-CPUs mit Vega-Grafik für Laptops sind da

Galaxy A9 im Hands on: Samsung bietet vier
Galaxy A9 im Hands on
Samsung bietet vier

Samsung erhöht die Anzahl der Kameras bei seinen Smartphones weiter: Das Galaxy A9 hat derer vier, zudem ist auch die restliche Ausstattung nicht schlecht. Aus verkaufspsychologischer Sicht könnte die Einstufung in die A-Mittelklasse bei einem Preis von 600 Euro ein Problem sein.
Ein Hands on von Tobias Költzsch

  1. Auftragsfertiger Samsung startet 7LPP-Herstellung mit EUV
  2. Galaxy A9 Samsung stellt Smartphone mit vier Hauptkameras vor
  3. Galaxy J4+ und J6+ Samsung stellt neue Smartphones im Einsteigerbereich vor

Neuer Kindle Paperwhite im Hands On: Amazons wasserdichter E-Book-Reader mit planem Display
Neuer Kindle Paperwhite im Hands On
Amazons wasserdichter E-Book-Reader mit planem Display

Amazon bringt einen neuen Kindle Paperwhite auf den Markt und verbessert viel. Der E-Book-Reader steckt in einem wasserdichten Gehäuse, hat eine plane Displayseite, mehr Speicher und wir können damit Audible-Hörbücher hören. Noch nie gab es so viel Kindle-Leistung für so wenig Geld.
Ein Hands on von Ingo Pakalski


      •  /