Merhaba arkadaşlar bugün sizlere Http.sys Remote Code Execution hakkında detaylı olarak bilgi vereceğim
HTTP.sys Uzaktan Kod Yürütme (Remote Code Execution - RCE) güvenlik açığı, yaygın olarak CVE-2015-1635 koduyla bilinen ve Windows işletim sistemlerinin HTTP isteklerini işleyen çekirdek modu sürücüsündeki (HTTP.sys) bir hatadan kaynaklanan kritik bir zafiyettir.
Nedir?
Bu zafiyet, bir saldırganın hedef Windows sunucusuna özel olarak hazırlanmış bir HTTP isteği göndererek, sunucuda sistem yetkileriyle (System privileges) kod çalıştırmasına veya sunucuyu tamamen kilitlemesine (Blue Screen of Death - Mavi Ekran) olanak tanır. "MS15-034" numaralı Microsoft güvenlik bülteni ile duyurulmuştur.
Nasıl Oluşur? (Teknik İşleyiş)
Saldırı genelde şu adımlarla gerçekleşir:
- İstek Hazırlama: Saldırgan, hedef sunucuya standart bir HTTP GET isteği gönderir ancak bu isteğin içine Range: bytes=0-18446744073709551615 gibi aşırı büyük bir değer ekler.
- Hatalı Hesaplama: HTTP.sys bu isteği aldığında, bellekte ayrılması gereken alanı hesaplamak için bu değeri kullanır. 64-bitlik en büyük tamsayı değerlerinden biri olan bu sayı, işlem sırasında bir taşmaya neden olur.
- Tetikleme: Eğer amaç Hizmet Dışı Bırakma (DoS) ise, geçersiz bellek erişimi çekirdek (kernel) seviyesinde olduğu için işletim sistemi anında çöker ve mavi ekran verir. Eğer amaç Kod Yürütme (RCE) ise, saldırgan bellek yapısını çok hassas bir şekilde manipüle ederek (memory corruption), kendi zararlı kodunu çekirdek yetkileriyle çalıştırmayı hedefler.
Etkilenen Sistemler ve Önlem
Genellikle Internet Information Services (IIS) yüklü olan Windows 7, 8, Server 2008 R2, Server 2012 ve Server 2012 R2 sürümlerini etkilemiştir.
Bu zafiyetle neler yapılabilir:
Tam Yetkiyle Uzaktan Kod Çalıştırma (RCE)
Bu, zafiyetin en tehlikeli senaryosudur. Saldırgan, hedef sunucuda kullanıcı girişi yapmasına gerek kalmadan doğrudan komut koşturabilir.
Sistem Kontrolü: Kod çekirdek seviyesinde çalıştığı için saldırgan SYSTEM yetkilerine sahip olur. Bu, sunucudaki en yüksek yetkidir.
Zararlı Yazılım Yükleme: Sunucuya fidye yazılımı (ransomware), arka kapı (backdoor) veya spyware yerleştirilebilir.
Veri Hırsızlığı: Veritabanlarına erişebilir, kritik dosyaları çalabilir veya kullanıcı bilgilerini ele geçirebilir.
Genellikle Internet Information Services (IIS) yüklü olan Windows 7, 8, Server 2008 R2, Server 2012 ve Server 2012 R2 sürümlerini etkilemiştir.
Bu zafiyetle neler yapılabilir:
Tam Yetkiyle Uzaktan Kod Çalıştırma (RCE)
Bu, zafiyetin en tehlikeli senaryosudur. Saldırgan, hedef sunucuda kullanıcı girişi yapmasına gerek kalmadan doğrudan komut koşturabilir.
Sistem Kontrolü: Kod çekirdek seviyesinde çalıştığı için saldırgan SYSTEM yetkilerine sahip olur. Bu, sunucudaki en yüksek yetkidir.
Zararlı Yazılım Yükleme: Sunucuya fidye yazılımı (ransomware), arka kapı (backdoor) veya spyware yerleştirilebilir.
Veri Hırsızlığı: Veritabanlarına erişebilir, kritik dosyaları çalabilir veya kullanıcı bilgilerini ele geçirebilir.
Hizmet Dışı Bırakma (Denial of Service - DoS)
Saldırganlar bu açığı genellikle bir sistemi tamamen devre dışı bırakmak için kullanır.
Mavi Ekran (BSOD): Gönderilen hatalı "Range" başlığı HTTP.sys sürücüsünün belleği yönetememesine ve işletim sisteminin çökmesine neden olur.
Mavi Ekran (BSOD): Gönderilen hatalı "Range" başlığı HTTP.sys sürücüsünün belleği yönetememesine ve işletim sisteminin çökmesine neden olur.
