Začiatkom tohto týždňa spoločnosť Microsoft zverejnila medzi všetkými svojimi ďalšími rozpadmi opráv patch podrobnosti o chybe zabezpečenia (MS15-034), ktorá ovplyvňuje zásobník HTTP HTTP.
Znie to ako problém, ktorý ovplyvňuje iba servery Windows, nie? Nesprávne - zasahuje celý rad produktov Windows vrátane desktop verzie systému Windows.
Tu sú štyri najdôležitejšie poznámky o tejto chybe zabezpečenia, pre ktoré spoločnosť Microsoft už pripravila opravu.
1. Problém sa týka systémov, ktoré nie sú servermi alebo dokonca nemajú spustenú službu IIS
HTTP.sys, zraniteľná súčasť systému Windows v tomto vydaní, je ovládač zariadenia v režime jadra, ktorý sa používa na vysokú rýchlosť spracovania požiadaviek HTTP. Využíva ju služba IIS 6.0 a vyššia, čo znamená, že je súčasťou systému Windows od roku 2003. (Nie všetky programy, ktoré fungujú ako webové servery v systéme Windows, používajú protokol HTTP.sys, ako dokumentuje tento príspevok z roku 2011.)
Skutočným problémom je, že protokol HTTP.sys sa nenachádza iba vo serverových verziách systému Windows - je prítomný aj v systémoch Windows 7 a Windows 8 (a 8.1). To znamená, že voči tomuto problému sú zraniteľné aj všetky desktopové systémy, ktoré nie sú starostlivo opravené.
2. Je ľahké ho zneužiť
Spoločnosť Microsoft bola zámerne neurčitá, čo by bolo potrebné na zneužitie tejto chyby zabezpečenia, a uviedla, že na jej spustenie môže byť použitá iba „špeciálne vytvorená požiadavka HTTP“. Mattias Geniar, poskytovateľ hostiteľských riešení Nucleus, tvrdí, že v prípade problému vystopoval „prvé úryvky kódu zneužitia“.
3. Táto rozmanitosť útokov sa použila na iných webových serveroch
Podľa Geniara môže byť útok vykonaný jednoduchým odoslaním jednej žiadosti HTTP s chybne tvarovanou hlavičkou požiadavky rozsahu, čo je technika bežne používaná na to, aby hostiteľ mohol načítať časť súboru z webového servera.
V roku 2011 bol zdokumentovaný neurčite podobný útok na webový server Apache HTTPD. Táto chyba bola čoskoro opravená a riešenie (poznámka: holandský text na stránke) je možné implementovať aj úpravou súboru .htaccess pre danú webovú stránku. Tento útok však údajne funguje na systémoch, ktoré formálne nepoužívajú webový server, a komplikuje to.
4. Môžete ľahko skontrolovať, či ste zraniteľní
Teraz niekoľko dobrých správ: Je pomerne ľahké zistiť, či bol server, s ktorým pracujete, opravený alebo nie. Vývojár „Pavel“ vytvoril web (s otvoreným zdrojovým kódom), ktorý umožňuje testovať akýkoľvek verejný webový server na prítomnosť chyby. Ak nástroj hovorí, že je opravené niečo iné ako „[doména]“, radšej by ste sa mali pozrieť na aktualizáciu daného systému.
Zrátané a podčiarknuté: Oprava, ak ste to neurobili, a dajte si pozor na to, ako môže tento problém potenciálne ovplyvniť systémy, ktoré nikdy nemali byť servermi.
