Сервис виртуальных номеров поможет создать и подтвердить любую учетную запись на любом сайте, не используя реальный номер телефона для активации аккаунта.
По словам технического гиганта, отправка специально созданных HTTP / 2-запросов может привести к скачку ЦП машины до 100%, пока IIS не прекратит вредоносные соединения.
«Спецификация HTTP / 2 позволяет клиентам указывать любое количество кадров SETTINGS с любым количеством параметров SETTINGS. В некоторых ситуациях чрезмерные настройки могут стать причиной нестабильной работы служб и привести к временному всплеску загрузки ЦП, пока не истечет время ожидания соединения и соединение не будет закрыто», - говорится в сообщении Microsoft.
Уязвимость затрагивает Windows 10, Windows Server и Windows Server 2016. Февральские обновления, не связанные с безопасностью, выпущенные Microsoft на этой неделе, должны решить эту проблему, позволив администраторам IIS определить пороговые значения для количества настроек HTTP / 2, включенных в запрос.
Однако Microsoft отметила, что выпущенные обновления не определяют никаких значений по умолчанию, и администраторы IIS должны сделать это самостоятельно. Статья базы знаний, которая должна предоставить информацию о том, как это сделать, не была доступна во время написания.
Microsoft отдает должное Гал Гольдштейн из F5 Networks за сообщение об уязвимости. Стоит отметить, что аналогичный недостаток, отслеживаемый как CVE-2018-16844, был недавно обнаружен Гольдштейном в программном обеспечении веб-сервера с открытым исходным кодом nginx.
«Недостаток Microsoft IIS может вызвать серьезные проблемы для организаций, использующих IIS для своего корпоративного веб-сайта или приложений. Несмотря на то, что Microsoft разработала исправление для исправления этой проблемы, ИТ-отдел все еще должен правильно настроить IIS, чтобы проблема не могла быть создана. Microsoft, в частности, заявила, что они не предоставляют предварительные настройки, и поэтому решение проблемы - это больше, чем просто применение исправления», - сказал Джастин Джетт, директор по аудиту и соответствию в Plixer.
«ИТ-отделы должны использовать аналитику сетевого трафика для просмотра подключений к своим серверам IIS, чтобы определить, есть ли у них подключения к веб-серверам, которые могут создавать эти проблемы. Часто эти соединения являются долгоживущими, или исходное соединение постоянно повторяется, чтобы вызвать проблему на сервере. Взглянув на эти показатели, ИТ-группы могут определить источник DDoS. Эти типы проблем могут быть решены с правильной конфигурацией. Аналитика сетевого трафика может помочь вам понять, где могут быть проблемы с конфигурацией, поэтому система может быть обновлена до того, как возникнут такие серьезные проблемы, как DDoS-атаки», - добавил Джетт.
