4月14日，微软月度例行安全公告披露了一个HTTP.sys远程代码执行漏洞，可能允许远程执行代码。国家信息安全共享平台（CNVD）已将该漏洞收录为高危漏洞（编号：CNVD-2015-02422），攻击者可以在系统帐户的上下文中执行任意代码或提升权限，主要威胁到IIS服务器的安全。目前，互联网已经出现了可以使服务器蓝屏的利用代码，但可导致控制服务器主机的攻击代码还未出现。具体情况通报如下：

        一、漏洞情况分析

        IIS是微软提供的WEB服务程序，可以提供HTTP、HTTPS、FTP等相关服务，同时支持ASP、JSP等WEB端脚本，应用广泛。微软从IIS6.0开始，为了在Windows平台上优化IIS服务器性能而引入了HTTP.sys内核驱动程序。这次漏洞产生的原因是HTTP.sys未能正确分析经特殊设计的HTTP请求所致，通过发送特定构造的HTTP请求包，导致整数溢出。成功利用后，攻击者有可能在系统帐户的上下文中执行任意代码，导致拒绝服务或提取权限。目前相关分析表明，漏洞的溢出只限于整数型参数，直接构造可执行系统指令的攻击代码还有一定难度。

        二、漏洞影响范围

        根据CNCERT抽样检测结果，截至2015年4月19日，约5.67万个IP地址的IIS服务器存在漏洞，其中约3.15万个已打补丁修复，约2.52万个还存在漏洞且未被修复。

        同时，受该漏洞影响的操作系统的IIS服务器包括Windows 7、Windows 8、Windows server 2008、Windows server 2012。CNCERT评估认为,一旦可用的远程执行利用代码被披露，则有可能造成大规模的针对IIS服务器的攻击。

        三、漏洞修复建议

        通过修改 Windows HTTP 堆栈处理请求的方式，可以修复此漏洞，并且微软已经发布了修复该漏洞的补丁。相关建议如下：

        （一）广大用户应尽快下载更新，安装完成后重启系统使补丁生效。补丁下载链接：

        https://support.microsoft.com/zh-cn/kb/3042553

        （二）相关单位可对使用的微软Server系统进行排查，特别注意不作为Web服务器的系统，可能存在默认安装了IIS服务的情况。

        CNCERT将继续跟踪后续情况，如需技术支援，请联系CNCERT。邮箱：cncert@cert.org.cn，电话：010-82990999。

        参考链接：

        http://www.cnvd.org.cn/webinfo/show/3614