Computerbeveiliging - Hoe je bad guys buiten de deur houdt

IIS6+ check voor MS15-034

16-04-2015, 13:27 door Erik van Straten, 0 reacties
Laatst bijgewerkt: 16-04-2015, 14:31
Het Internet Storm Center [1] waarschuwt voor IIS servers die niet gepatched zijn met MS15-034 [2].

Of een webserver lek is, lijk je te kunnen testen met cURL:
  curl -v -r 0-18446744073709551615 https://www.security.nl/
waarbij https://www.security.nl/ natuurlijk als voorbeeld is opgenomen (niet lek). Als een van de eerste output regels, die met een kleiner-dan teken begint, de volgende inhoud heeft:
  < HTTP/1.1 416 Requested Range Not Satisfiable
dan is de betreffende webserver waarschijnlijk niet gepatched.

Download locaties voor cURL vind je in [3]. Een alternatieve, meer uitgebreide, test vind je in [4] (daar heb ik niet mee geëxperimenteerd).

Alles wat je doet is natuurlijk geheel voor eigen risico!

[1] https://isc.sans.edu/forums/diary/MS15034+HTTPsys+IIS+DoS+And+Possible+Remote+Code+Execution+PATCH+NOW/19583/
[2] https://technet.microsoft.com/library/security/ms15-034
[3] http://curl.haxx.se/download.html
[4] http://www.exploit-db.com/exploits/36773/

Aanvulling 16-04-2015, 14:31: in http://blog.erratasec.com/2015/04/masscanning-for-ms15-034.html (bron: https://www.security.nl/posting/425250/Netcraft%3A+70+miljoen+websites+kwetsbaar+door+Windowslek) wijst Robert Graham erop dat een dergelijke request tot allerlei antwoorden kan leiden, o.a. als de server dynamische content teruglevert of antwoordt met een "redirect". Onbekend is of een server kwetsbaar is in zo'n situatie.
Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.