21 feb. 2019

Vulnerabilidad de DoS en IIS (Actualiza!)

El Centro de respuesta de seguridad de Microsoft publicó ayer un aviso de seguridad sobre un problema de denegación de servicio (DoS) que afecta a IIS (Internet Information Services).

Gal Goldshtein de F5 ha descubierto un problema en cómo el servidor IIS de Microsoft maneja las peticiones HTTP/2 que puede llevar a una denegación de servicio (CPU al 100% de forma que caducan las conexiones). El problema se debe a cómo maneja el número de frames el servidor. Un atacante podría enviar un valor de SETTINGS muy alto y hacer que el consumo de recursos del servidor sea tan elevado que se vuelva inestable.

Los servidores IIS incluidos con Windows 10 y Windows Server 2016 se ven afectados por una vulnerabilidad al procesar las solicitudes HTTP/2. Se ha publicado una actualización que permite establecer el límite de SETTINGS HTTP/2 que manejables por el servidor, que hasta ahora no eran predefinidos por Microsoft.

Microsoft dice que hay circunstancias en las que los servidores IIS que procesan solicitudes HTTP/2 pueden hacer que el uso de la CPU aumente al 100%, bloqueando o ralentizando de manera efectiva todo el sistema. Fuera de la advertencia de seguridad ADV190005 de Microsoft, no hay otros detalles públicos disponibles sobre esta vulnerabilidad.

HTTP/2 permite a los clientes especificar cualquier número de frames. En algunas situaciones, la configuración excesiva puede hacer que los servicios se vuelvan inestables y se produzca un aumento temporal del uso de la CPU hasta que se alcance el tiempo de espera de la conexión y se cierre la conexión

El problema se resolvió agregando la capacidad de definir umbrales en la cantidad de parámetros de  SETTINGS, incluidos en una solicitud HTTP/2 que un servidor IIS podría manejar.

Las actualizaciones acumulativas KB4487006, KB4487011, KB4487021 y KB4487029 se lanzaron hace dos días para solucionar el error de DoS en IIS, por lo que se recomienda actualizar a la brevedad.

Fuente: Microsoft

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!