近期,微软对外表示,运行IIS的Windows服务器容易受到拒绝服务(DOS)攻击。
攻击者可以通过发送精心设计的HTTP/2请求来触发DoS漏洞,CPU使用率会暂时达到100%来迫使IIS切断中断连接。
微软发布的安全建议中写道:“Microsoft目前了解到,当某种恶意的HTTP/2请求被发送到运行在Windows服务器上的IIS时会触发DoS漏洞。使系统CPU的使用率暂时飙升至100%,直到恶意连接被IIS中断。”
“HTTP/2规范允许客户端使用任意数量的SETTINGS参数设置任意数量SETTINGS的帧。在某些情况下,这些过多的参数设置可能会导致服务变得不稳定,导致CPU短时使用率过高,直到连接超时并被关闭。”
该漏洞会影响Windows 10、Windows Server和Windows Server 2016操作系统。
这一漏洞由F5网络公司的Gal Goldshtein报告的,他于2018年11月就披露存在于nginx服务器软件中的类似漏洞。
微软已经发布了关于这个漏洞的安全补丁,这家技术巨头添加了一个对HTTP/2请求中SETTINGS帧数量的阈值设置。这些阈值不是由Microsoft预设的,而是由IIS管理员定义的。Microsoft还发布了一篇科普文章,解释如何科学设置阈值。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://securityaffairs.co/wordpress/81498/hacking/windows-iis-dos-flaw.html