Microsoft прибрала в своїй технології для web-серверів Internet Information Services (IIS) уразливість, що дозволяла зловмисникам викликати стовідсоткове завантаження центрального процесора (CPU), змусивши IIS обробляти особливим чином сформований запит HTTP/2, і тим самим спровокувати відмову в обслуговуванні, пише SecurityLab.
Проблему виявив фахівець компанії F5 Networks Гал Гольдштейн (Gal Goldshtein). На сьогоднішній день жодних інших описів уразливості, окрім офіційного повідомлення Microsoft, немає.
“Технічна специфікація HTTP/2 дозволяє клієнту встановити будь-яку кількість фреймів SETTINGS з будь-якою кількістю параметрів SETTINGS. У деяких випадках занадто велике число SETTINGS може зробити роботу сервісів нестабільної і викликати тимчасовий різкий стрибок навантаження на ЦП до тих пір, поки не закінчиться час з’єднання”, – йдеться в повідомленні.
Microsoft виправила проблему, реалізувавши можливість встановлювати ліміт на кількість параметрів SETTINGS в запиті HTTP/2, яке IIS в змозі обробити. Уразливість була виправлена на цьому тижні з виходом оновлень KB4487006, KB4487011, KB4487021 і KB4487029. Обмеження на кількість параметрів SETTINGS не є встановленим, і після розгортання патчів системні адміністратори повинні встановити його самостійно.
До речі, в Інтернеті зростає кількість фішинг-атак, жертвами яких стає все більше домашніх та корпоративних користувачів.
Зі зростанням активності подібних загроз спеціалісти ESET радять користувачам дотримуватися основних правил безпеки під час роботи в мережі Інтернет.