www.morihi-soc.net

セキュリティの話題を中心に取扱中

ハニーポット観察記録(29) 「HTTP.sys の脆弱性を狙った攻撃」

どうも.ハニーポッターの森久です.

オリジナルハニーポットで Windows Server の”あの”脆弱性を狙った攻撃を検知しました.

検知したログは下記の通りです.

※一部の情報を意図的に伏せています.

 

Range ヘッダにとんでもなく大きい数値が指定されていますね。

そうです.今年の4月に公開された MS15-034(HTTP.sys)の脆弱性です.

 

もしパッチが適用されていない Windows サーバの場合は BSOD で再起動したことでしょう.

 

またこの攻撃で気になったことがあります.

なぜか他のハニーポットでは攻撃を検知しておらず,このハニーポットでのみ攻撃を検知したことです.

あくまで推測ですが,この攻撃を検知したハニーポットでは Web サーバのバナーを「Microsoft-IIS/7.5」にしています.そのため攻撃者は Windows サーバだけを狙い撃ちしていた可能性があります.

なおこの攻撃を検知する直前に,同じ IP アドレスからのアクセスはありませんでした.つまり攻撃者はあらかじめバナー情報を収集しており,その中から Windows サーバだけをピックアップしていたと考えることもできます.

 

あくまで想像の範囲内でしかありませんが,攻撃者は静かに情報収集をしているのでしょう.

もしアクセスログに攻撃の痕跡と考えられるものを発見した場合は,ログの調査と送信元 IP アドレスからの通信の遮断を検討してください.

 

参考情報

HTTP.sys の脆弱性により、リモートでコードが実行される (3042553)
https://technet.microsoft.com/library/security/MS15-034

MS15-034で修正されたHTTP.sysの脆弱性 CVE-2015-1635についてまとめてみた。
http://d.hatena.ne.jp/Kango/20150415/1429115441

 

Written by morihisa

8月 9th, 2015 at 11:04 pm