Tidligere denne uken, mellom alle sine andre oppdateringer, la Microsoft ut detaljer om et sikkerhetsproblem (MS15-034) som påvirker Windows HTTP-stakken.
Høres ut som et problem som bare påvirker Windows-servere, ikke sant? Feil - den treffer et helt utvalg av Windows-produkter, inkludert skrivebordet versjoner av Windows.
Her er fire av de mest avgjørende merknadene om dette sikkerhetsproblemet, som Microsoft allerede har gjort klar for en oppdatering for.
1. Problemet påvirker systemer som ikke er servere eller til og med kjører IIS
HTTP.sys, den sårbare Windows-komponenten i dette problemet, er en enhetsdriver i kjernemodus som brukes til å behandle HTTP-forespørsler i høy hastighet. IIS 6.0 og nyere bruker det, noe som betyr at det har vært en del av Windows siden 2003. (Ikke alle programmer som fungerer som webservere i Windows har benyttet seg av HTTP.sys, som dette innlegget fra 2011 dokumenterte.)
Det virkelige problemet er at HTTP.sys ikke er til stede i bare serverversjonene av Windows - det er også til stede i Windows 7 og Windows 8 (og 8.1). Det betyr at alle stasjonære systemer som ikke blir patchet flittig også er sårbare for dette problemet.
2. Det er lett å utnytte
Microsoft har bevisst vært vag om hva som skal til for å utnytte dette sikkerhetsproblemet, og sa bare "en spesiallaget HTTP-forespørsel" kan brukes til å utløse den. Mattias Geniar fra hostingløsningsleverandøren Nucleus hevder å ha sporet "de første utdragene av utnyttelseskode" for problemet.
3. Denne typen angrep har blitt brukt på andre webservere
I følge Geniar kan angrepet utføres ved ganske enkelt å sende en enkelt HTTP-forespørsel med et misformet overskriftsforespørselstittel, en teknikk som vanligvis brukes til å la verten hente en del av en fil fra en webserver.
Tilbake i 2011 ble et svakt lignende angrep dokumentert for Apache HTTPD-webserveren. Det sikkerhetsproblemet ble oppdatert raskt nok, og en løsning (merknad: nederlandsk tekst på side) kan også implementeres ved å redigere .htaccess-filen for et gitt nettsted. Men dette angrepet påstås å fungere på systemer som ikke formelt kjører en webserver, noe som kompliserer saken.
4. Du kan enkelt sjekke om du er sårbar
Nå for noen gode nyheter: Det er relativt enkelt å fortelle om en server du har å gjøre med er blitt lappet eller ikke. Utvikler "Pavel" har opprettet et nettsted (med åpen kildekode) som gjør det mulig å teste alle publikumsvendte webservere for tilstedeværelsen av feilen. Hvis verktøyet sier at noe annet enn "[domene] er lappet", bør du se nærmere på oppdatering av det aktuelle systemet.
Poenget: Patch hvis du ikke har det, og vær forsiktig med hvordan dette problemet potensielt kan påvirke systemer som i utgangspunktet aldri var ment å være servere.
