Cài ngay bản vá cho Windows Server & Windows 10 chạy IIS để không bị tấn công DOS

Mới đây, Microsoft đã đăng tải một thông điệp khuyến cáo liên quan đến vấn đề bảo mật trên trung tâm phản hồi bảo mật (Security Response Center) của mình, với nội dung liên quan đến việc các máy chủ Windows Server và Windows 10 đang chạy Internet Information Services (IIS) dễ dàng trở thành mục tiêu của các cuộc tấn công từ chối dịch vụ (DOS).

Nói một cách chính xác hơn, tất cả các máy chủ IIS chạy Windows Server 2016, Windows Server Phiên bản 1709, Windows Server Phiên bản 1803, cũng như Windows 10 (phiên bản 1607, 1703, 1709 và 1803) đều bị ảnh hưởng bởi sự cố DoS này.

Lỗ hổng được mô tả trong khuyến cáo bảo mật ADV190005 của Microsoft cho phép kẻ tấn công tiềm năng từ xa có thể kích hoạt tình trạng DoS bằng cách tận dụng lỗi cạn kiệt tài nguyên IIS, tức là nó "có thể tạm thời khiến việc sử dụng CPU hệ thống tăng đột biến lên 100%, ít nhất là cho đến khi các kết nối độc hại thực sự được loại bỏ hoàn toàn bằng IIS”.

Các tác nhân độc hại này có thể khởi chạy những cuộc tấn công DoS chống lại các máy chủ Windows dễ bị tổn thương bằng cách gửi nhiều yêu cầu HTTP/2 được tạo theo cách thủ công.

Windows Server

Microsoft cũng đưa ra lời khuyên rằng không hề có sự giảm thiểu hay giải pháp nào cho lỗ hổng đã được báo cáo bởi Gal Goldshtein của F5 Networks này, và họ khuyến nghị tất cả người dùng nên cài đặt các bản cập nhật February không bảo mật được liệt kê trong bảng bên dưới như sau:

Tên phiên bản Bản vá
Windows 10 Version 1607 for 32-bit Systems 4487006
Windows 10 Version 1607 for x64-based Systems 4487006
Windows 10 Version 1703 for 32-bit Systems 4487011
Windows 10 Version 1703 for x64-based Systems 4487011
Windows 10 Version 1709 for 32-bit Systems 4487021
Windows 10 Version 1709 for 64-based Systems 4487021
Windows 10 Version 1709 for ARM64-based Systems 4487021
Windows 10 Version 1803 for 32-bit Systems 4487029
Windows 10 Version 1803 for ARM64-based Systems 4487029
Windows 10 Version 1803 for x64-based Systems 4487029
Windows Server 2016 4487006
Windows Server 2016 (cài đặt Server Core) 4487006
Windows Server, version 1709 (cài đặt Server Core) 4487021
Windows Server, version 1803 (cài đặt Server Core) 4487029


Chi tiết được nêu trong khuyến cáo bảo mật ADV190005 của Microsoft như sau:

"HTTP/2 cho phép máy khách chỉ định bất kỳ số lượng khung SETTINGS nào với bất kỳ số lượng tham số SETTINGS nào. Tuy nhiên trong một số trường hợp, việc cài đặt quá mức có thể khiến các dịch vụ trở nên không ổn định và do đó dẫn đến việc sử dụng CPU tạm thời tăng đột biến cho đến khi thời gian kết nối hết và kết nối bị đóng".

Như một biện pháp cải thiện tình hình, nhóm bảo mật của Redmond "đã thêm khả năng xác định ngưỡng về số lượng SETTINGS HTTP/2 có trong yêu cầu", các mức ngưỡng phải được quản trị viên IIS thiết lập sau khi đánh giá môi trường và HTTP/2 trên hệ thống của họ yêu cầu giao thức, vì chúng sẽ không được cấu hình trước bởi Microsoft.

Việc cài đặt quá mức có thể khiến các dịch vụ trở nên không ổn định và có thể dẫn đến việc sử dụng CPU tạm thời tăng đột biến

Để đặt các giới hạn này, Microsoft đã bổ sung thêm những mục registry sau vào các bản phát hành Windows 10 dễ bị tổn thương:

Đường dẫn:

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters

Tên: Http2MaxSinstallPerFrame

Loại: DWORD

Dữ liệu: Giá trị tối thiểu được hỗ trợ là 7 và tối đa 2796202. Giá trị ngoài phạm vi được cắt theo giá trị cuối tối thiểu/tối đa tương ứng.

Đường dẫn:

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters

Tên: Http2MaxSettingsPerMinute

Loại: DWORD

Dữ liệu: Giá trị tối thiểu được hỗ trợ là 7. Giá trị nhỏ hơn được cắt theo giá trị tối thiểu.

Sau khi các ngưỡng được đặt trên hệ thống Windows chạy IIS, các kết nối sẽ bị hủy ngay lập tức nếu:

  • Nếu một khung Setting duy nhất chứa nhiều tham số cài đặt hơn giá trị "Http2MaxSinstallPerFrame".
  • Nếu số lượng tham số cài đặt có trong nhiều khung Setting nhận được trong vòng một phút vượt qua giá trị "Http2MaxSinstallPerMinute".

Bên cạnh đó, theo Microsoft thì cũng cần lưu ý rằng bạn có thể sẽ phải khởi động lại dịch vụ hoặc khởi động lại máy chủ để các giá trị đăng ký mới thêm vào có thể được đọc.

Các máy chủ Windows đang chạy đã bị kẻ tấn công khai thác trước đó với sự trợ giúp của zero-day trong IIS 6.0 sẽ gây ảnh hưởng đến dịch vụ WebDAV theo mặc định trong tất cả các bản phân phối IIS, từ tháng 7 năm 2016 đến tháng 3 năm 2017.

Thứ Sáu, 22/02/2019 23:01
4,45 👨 438