携程被攻击事件或许和MS15-034有关?
来自http://www.codefrom.com/paper/%E6%90%BA%E7%A8%8B%E8%A2%AB%E6%94%BB%E5%…
背景
5月28日上午11:09,携程网遭受不明攻击导致官方网站及APP暂时无法正常使用,携程首页挂出通知,建议用户选择艺龙旅行网。而今日下午17时许,艺龙网首页也出现无法访问的情况。
携程官网瘫痪事件在28日引发满城风雨,再次引发所有用户对互联网安全话题的讨论。目前事件有了进一步进展,晚间11点左右,携程公司员工在微信上表示,目前携程官网、APP数据已经恢复正常。
MS15-034
来自 http://drops.wooyun.org/papers/5669
在4月的微软补丁日,微软通过标记为“高危”的MS15-034补丁,修复了HTTP.SYS中一处远程代码漏洞CVE-2015-1635。据微软公告(https://technet.microsoft.com/en-us/library/security/MS15-034) 所称,当存在该漏洞的HTTP服务器接收到精心构造的HTTP请求时,可能触发远程代码在目标系统以系统权限执行。
这是对于服务器系统影响不小的安全漏洞,任何安装了微软IIS 6.0以上的Windows Server 2008 R2/Server 2012/Server 2012 R2以及Windows 7/8/8.1操作系统都受到这个漏洞的影响。
从微软的公告致谢来看,这个漏洞是由“Citrix Security Response Team”(美国思杰公司的安全响应团队)发现,从网上公开的信息来看,Citrix公司是一家从事云计算虚拟化、虚拟桌面和远程接入技术领域的高科技企业。这也引发了Twitter上很多关于该漏洞是否是由针对Citrix公司的APT攻击中发现的疑问,而就在微软发布补丁的不到12个小时内,便有匿名用户在Pastebin网站上贴出了针对这个漏洞可用的概念验证攻击代码,似乎也印证了这一点。
携程
而我们知道携程拥有大量的windows服务器,部署的也刚好是IIS,这不禁让人想起了MS15-034,是否存在“不明攻击者”利用MS15-034的漏洞对携程进行大面积的攻击呢?
附上检测工具
[root@localhost tools]# git clone https://github.com/zigoo0/MS15-034
[root@localhost MS15-034]# python http-sys.py --help
This is a test POC for:
MS15-034: HTTP.sys (IIS) DoS And Possible Remote Code Execution.
By Ebrahim Hegazy @Zigoo0
[*] Enter the name of the list file: