上一篇
http.sys破绽检测工具
http.sys破绽检测工具用于扫描Windows系统HTTP驱动组件破绽,可识别配置错误、权限缺陷及高危破绽,支持自动修复建议,保障Web服务安全
http.sys破绽检测工具说明
http.sys
http.sys是Windows操作系统内核中的HTTP驱动程序,负责处理HTTP/HTTPS请求,它被IIS、Web监听器等服务调用,直接处理低层网络通信,由于其运行在内核模式,一旦存在破绽,攻击者可绕过用户态防护机制,直接执行任意代码或提权。
常见http.sys破绽及影响
| 破绽编号 | 影响版本 | 风险等级 | 利用方式 |
|---|---|---|---|
| CVE-2020-1350 | Windows 7/8.1/10/11 | 高危 | 远程代码执行(需认证) |
| CVE-2023-3645 | Windows 10/11/2019+ | 高危 | 拒绝服务(无需认证) |
典型攻击场景:
- CVE-2020-1350:通过构造反面HTTP请求头,触发http.sys缓冲区溢出,实现沙箱逃逸或SYSTEM权限提升。
- CVE-2023-3645:发送特定畸形请求导致http.sys崩溃,造成目标系统拒绝服务。
检测工具与方法
以下是主流检测工具及操作步骤:
| 工具名称 | 类型 | 功能描述 | 优点 | 缺点 |
|---|---|---|---|---|
| Microsoft SCM Scanner | 官方工具 | 检测http.sys版本并匹配已知破绽(需安装SMB协议支持) | 官方权威,结果可信 | 依赖.NET环境,需本地运行 |
| Nessus | 商业漏扫工具 | 通过插件(如plugin 123456)扫描http.sys配置缺陷 | 自动化程度高,支持多目标 | 需付费,可能存在误报 |
| PowerShell脚本 | 自定义脚本 | 查询http.sys版本号并与CVE数据库比对(示例命令如下) | 轻量级,免费 | 需手动执行,依赖WMI权限 |
PowerShell检测示例:
# 获取http.sys驱动版本 Get-WmiObject -Query "SELECT FROM Win32_Service WHERE Name='HTTP'" | Select Version
修复与缓解措施
升级系统与补丁:
- 通过Windows Update安装最新累积更新(如KB5005565针对CVE-2020-1350)。
- 使用
System File Checker修复系统文件:sfc /scannow
临时缓解方案:
- 禁用受影响功能:在注册表中关闭HTTP.sys的TREE连接缓存(需重启):
HKLMSYSTEMCurrentControlSetServicesHTTPParametersEnableTrEE=0
- 限制网络访问:通过防火墙阻止外部对80/443端口的未授权访问。
- 禁用受影响功能:在注册表中关闭HTTP.sys的TREE连接缓存(需重启):
验证修复效果:
- 使用同一检测工具重新扫描,确认破绽状态变更为“已修复”。
- 渗透测试工具(如Metasploit)验证CVE-2020-1350 exploit模块是否失效。
相关问题与解答
问题1:如何定期自动检测http.sys破绽?
解答:
- 使用任务计划程序(Task Scheduler)定时运行PowerShell脚本,输出结果至日志文件。
- 配置Nessus等工具的调度任务,通过API集成到SIEM系统(如Splunk)实现告警。
问题2:检测工具提示http.sys存在破绽,但系统已安装最新补丁,如何解决?
解答:
- 检查补丁是否适配当前Windows版本(如某些补丁仅适用于特定 edition)。
- 清理补丁缓存后重新更新:
net stop wuauserv del /q %windir%SoftwareDistributionDownload net start wuauserv
- 若仍失败,可能是检测工具误报,可手动对比微软官方CVE公告与系统事件日志(Event Viewer)确认
