一、漏洞情况

微软在2014年4月的补丁日进行了多个漏洞修补，涉及到Windows、OFFICE、IE、IIS等多个环节，本次补丁数量显著高于平均水平。安天安全研究与应急处理中心通过补丁相关信息研判，认为其中有多个OFFICE和IE漏洞可能与近期各种攻击相关，而其中编号为MS15-034的IIS远程执行漏洞极为值得高度关注。

IIS是微软提供的WEB服务程序，全称是Internet Information Services，其可以提供HTTP、HTTPS、FTP等相关服务，同时支持ASP、JSP等WEB端脚本，有比较广泛的应用。

从MS15-034的等级和相关说明来看，攻击者可以获得远程具有IIS服务的主机执行代码和提权能力，其针对了驱动HTTP.SYS实现特殊构造的HTTP请求，就可以在System账户账户上下文中执行任意代码。据悉，该漏洞利用代码已在国外技术网站Pastebin上公开，攻击者只要发送恶意数据包直打安装IIS的服务器，就可导致系统蓝屏崩溃。

这一漏洞影响的版本包括：

Microsoft Windows Server 2012 R2

Microsoft Windows Server 2012 R2（服务器核心安装）

Microsoft Windows Server 2012

Microsoft Windows Server 2012（服务器核心安装）

Microsoft Windows Server 2008 R2（用于基于 x64 的系统）Service Pack 1

Microsoft Windows Server 2008 R2（用于基于 Itanium 的系统）Service Pack 1  

Microsoft Windows Server 2008 R2（用于基于 x64 的系统）Service Pack 1（服务器核心安装）

Microsoft Windows Server 2008 SP2

Microsoft Windows 8.1

Microsoft Windows 8

Microsoft Windows 7

二、解决办法

漏洞在线检测：

https://www.vulbox.com/lab/

下载微软官方补丁并安装：

官方补丁下载：https://support.microsoft.com/zh-cn/kb/3042553

临时解决办法：

如果您不能立刻安装补丁或者升级，建议您采取以下措施以降低威胁：

* 禁用IIS内核缓存

三、风险影响分析：

安天CERT提醒广大用户：由于WEB 服务本身的开放特点，极易被大规模轻载的扫描探测到。而对于熟练的攻击者来说，现有WEB系统的IP分布、包括其对应的WEB SERVER类型和版本，甚至是一种既有资源。因此各种攻击团伙有可能会快速找到大量目标，因此当前有大量服务器处于危险当中。

目前已经出现可以使服务器蓝屏的利用代码，但截止到2015年4月25日24:00时，安天捕风蜜网和其他感知通道尚未捕获到有效的提权攻击行为，但已经发现针对80端口的扫描次数有所增加，但这并不表示不存在这种攻击，或未来不会出现大面积的攻击。同时由于时间关系，我们目前尚未有效测试DEP和ASLR等机制是否能形成有效的防护，尽管类似DEP机制对于IIS应进行了默认的防护。

IIS的安全脆弱性曾长时间被业内诟病，早期出现了ASP源码泄露等相关多个漏洞，并关联导致了对后台数据库的相关风险。而在早期各个漏洞，其中造成了重大影响的是2001年，曾被红色代码（Codered）系列利用的高端溢出漏洞。其具有内存传播，大量线程扫描，设置CMD后门等特点，基本将当时各个安全防护的模式击穿。而其遗留的CMD后门更引发了连锁此生灾害。

在微软全面强化内存安全防护后，IIS的严重漏洞得到了有效控制，也一度出现IIS的0DAY售价数百万的各种传言。这也证明了一旦IIS出现远程执行漏洞威胁将会非常严重。MS15-034，一方面有可能出现大量的渗透攻击，同时也不排除出现类似当年红色代码手法的的蠕虫扩散威胁，而同期网站篡改、黑链等攻击也可能上升。

安天特别提醒网络管理员，在打完微软提供的补丁后，必须重启修复才会生效，否则依然会面临威胁。由于安天本身不从事热补丁的研发工作，目前我们已经了解到多个兄弟厂商在制作临时热补丁，对于不能宕机的用户请查询关注。此外，一些WINDOWS Server系统并非作为WEB使用，但其默认安装IIS，这对网络管理者来说，亦可能是一个防护盲点，请在所管理的网内进行扫描检测相关服务端口。

安天CERT会进一步跟踪和关注相关事件进展，并向公众通报。

附件：参考资料和补丁编号

微软官方信息：https://technet.microsoft.com/zh-CN/library/security/ms15-034.aspx

官方补丁下载：https://support.microsoft.com/zh-cn/kb/3042553

360公司，【安全告警】IIS远程执行代码漏洞（CVE-2015-1635）：http://bobao.360.cn/news/detail/1435.html?from=groupmessage&isappinstalled=0

漏洞在线检测地址：https://www.vulbox.com/lab/

Freebuf，IIS最新高危漏洞（CVE-2015-1635，MS15-034）POC及在线检测源码：http://www.freebuf.com/articles/system/64185.html

绿盟科技：http://www.nsfocus.net/vulndb/29720