微軟IIS驚爆HTTP.sys死亡漏洞，一Ping系統恐癱瘓， SANS警告駭客正大肆搜尋肉票伺服器

微軟IIS網頁伺服器出現重大漏洞，資安專家評估，嚴重程度恐超越Shellshok漏洞。駭客只要發送一個簡單的HTTP請求，就能透過此漏洞癱瘓微軟IIS上的網站，甚至取得遠端控制權，恐成為駭客發動DDoS攻擊的入侵手段。資安研究機構SANS更偵測到駭客大型搜尋行動，掃描全網際網路，尋找有此漏洞的微軟 IIS網頁伺服器作為後續攻擊或入侵的對象。微軟已於4月14日釋出更新（微軟安全公告的說明），並呼籲MIS儘速修補。SANS也準備要將危險程度提高為黃色警報，而不只是發現問題的綠色警戒。

資安研究單位SANS日前公布一個漏洞編號CVE-2015-1635的漏洞，是一個作業系統核心漏洞，也是美國漏洞資料庫（NVD）評分為10分、風險最高的漏洞之一，與先前的Heartbleed及Shellshock一樣嚴重。趨勢科技全球核心技術部資深協理張裕敏表示，這是微軟IIS網頁伺服器處理HTTP流量封包時的HTTP.sys核心程式出現漏洞，目前已發現會導致DoS（阻斷式服務）攻擊，也可能導致駭客遠端攻擊的風險，微軟已經在4月例行更新中釋出編號MS15-034漏洞修補程式，目前使用微軟IIS 6.0版以上的使用者，都應該儘速修補漏洞以確保網頁伺服器的安全。「HTTP.sys的漏洞風險，將高於Shellshock漏洞風險。」他說。

全球7千萬臺IIS網頁伺服器面臨風險，嚴重性高於Shallshock

根據Netcraft最新的網頁伺服器統計，目前全球有7千萬臺微軟IIS伺服器，數量遠多於Linux伺服器數量。微軟IIS網頁伺服器用來處理HTTP請求的核心模組，也就是處理網頁瀏覽請求的核心模組。這次發生問題的是HTTP.sys標頭參數Range，通常用於網頁續傳檔案時，因為HTTP.sys不會檢查Range參數數值範圍，駭客若餵入超出Range參數範圍的數值，就會導致Windows核心當機，也會增加讓駭客遠端操控電腦的機會。

嘿嘿～「癱瘓微軟IIS上的網站」？馬鹿新聞又在亂寫一通！明明出事的就是「癱瘓使用Windows Server IIS 6.0架設的網站」！又不是癱瘓微軟的網站！