「加三嘻行動哇 Yipee! 成為好友」
【Facebook、Youtube、Twitter、Instagram、Telegram、Line】
IIS 是微軟所提供,基於運行 Microsoft Windows 作業系統的的網際網路基本服務,是管理各種電腦網路服務的整合介面,全球有不少使用 Windows 系統的企業,會選擇使用 Windows Server 內建的 IIS。Black Hat USA 2022 大會上, DEVCORE 首席研究員發表並現場展示所屬研究團隊如何花費數月時間,藉逆向工程了解 IIS 核心機制及內部架構,並揭露三種攻擊類型。
起因是蔡政達(Orange Tsai)注意到 IIS 中用來查詢在記憶體儲存位置的資料結構 Hash Table(雜湊表,也稱哈希表), 恐潛藏巨大的的安全性議題,研究團隊故從實作面、使用面在重新檢視微軟設計的 Hash Table 的實作和 Hash Table 演算法使用的過程,進而挖掘出 Microsoft IIS 的三個漏洞,包含:
- CVE-2022-22040:微軟的 Hash Table 實作問題,導致攻擊者可以將 20 年前猖獗的攻擊手法 Hash Flooding Attack 重現在 IIS 上,造成一台預設安裝的 IIS 因負荷滿載(overloading)而無法回應任何請求。
- CVE-2022-22025:由於微軟的 Hash Table 使用邏輯不一致,導致 Cache Poisoning 攻擊可以實現在 IIS 上,這將使攻擊者汙染 IIS 回傳給其他使用者的 HTTP 回應。
- CVE-2022-30209:微軟的 Hash Table 使用邏輯錯誤,讓攻擊者可以繞過 IIS 上的權限認證(Authentication Bypass)。此漏洞若經有心人士運用在 Exchange Server 上,攻擊者將能藉精心設計的密碼登入特定使用者信箱。
針對 Microsoft IIS 上的三個漏洞,研究團隊秉持道德標準,遵守漏洞揭露程序、主動通報原廠後並獲得微軟官方致謝。其中 CVE-2022-22040 此一漏洞甚至獲得微軟提供的三萬美元漏洞獎勵,直達過往微軟曾經提供給阻斷服務攻擊(DoS,denial of service)的最高獎金!
圖片及資料來源:DEVCORE
|
