IIS 공격할 수 있는 Http.sys(CVE-2015-1635)

 금보원에서 발간된 보고서 중 Http.sys에 취약점에 대해 보게되었고 신기해서 찾게 되었다. 
그리고 이 글은 http.sys에 대한 글이다.

먼저 http.sys는 2015년도 CVE 취약점으로 Windows IIS에서 발생한다. 
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1635

Http.sys 오버플로우 취약점으로 원리는 HTTP 요청 값에서 Length 사이즈를 조절하면 이때 오버플로우가 성공하는 취약점이다.

워낙 예전 OS 및 IIS버전만 해당되지만 많은 기업 레거시 시스템이 구형이 많아 생각보다 쓸만할지도?라는 생각으로 좀 분석해본다.

 

먼저 실험 대상의 시스템은 다음과 같이 Windows2000이며 IIS는 5.0버전이다.

 

원래 정상적인 요청은 다음과 같은 요청을 볼 수 있다.

 

이때 해당 취약점이 존재하는지 확인하고 싶다면 다음과 같이 Host이후 다음 글자를 설정하면된다.

POC:https://packetstormsecurity.com/files/131463/Microsoft-Windows-HTTP.sys-Proof-Of-Concept.html

 char request1[] = "GET / HTTP/1.1\r\nHost: stuff\r\nRange: bytes=0-18446744073709551615\r\n\r\n";

 

Reference:https://pastebin.com/ypURDPc4

MS15-034 Checker - Pastebin.com

 

 

 

다만 실제로 해본 결과 서버자체에서 블루스크린이 뜨며 서버가 먹통이 되어야하는데 2000은 너무 구형 서버라서 해당 취약점이 작동하지 않는듯하다(Win7 및 2008이후만 가능한듯) 

결국 Windows 2012 IIS 8.5를 설치하였다.

 

하지만 작동하지 않았다. 마이크로소프트 사이트 가보니 해당 취약점은 IIS7에 취약점이지만 내가 받은것은 8.5로 에러가나는것 같다. https://docs.microsoft.com/ko-kr/security-updates/securitybulletins/2015/ms15-034

Microsoft 보안 공지 MS15-034 - 긴급

여기서 하나 안것은 Windows 2012는 CVE-2013-1305이 작동한다는것이다.
https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2013/ms13-039

Microsoft Security Bulletin MS13-039 - Important

 

결국 Windows8을 설치해야하는것으로 다시 방향을 틀었다.

하지만 안된다. 버전이나 업데이트에 대해 너무 정보가 없어서 좀더 찾아봐야겠다