http.sys漏洞是否影响Windows不运行任何any服务器？

Question

Windows内核级HTTP驱动程序http.sys受远程代码执行漏洞(MS15-034)的影响。

此安全更新解决了Microsoft Windows中的漏洞。如果攻击者向受影响的Windows系统发送巧尽心思构建的HTTP请求，则该漏洞可能允许远程代码执行。此安全更新对于Windows7、Windows 2008 R2、Windows8、Windows 2012、Windows8.1和Windows 2012 R2的所有受支持版本都是至关重要的。

我不清楚的是，http.sys是否会在没有安装web服务器的Windows机器上运行和监听？

Windows上的在安装nginx时张贴表明http.sys正在运行。在桌面Windows版本中，这种情况是默认情况还是会被禁用？

Answer 1

IIS是从HTTP.sys获得HTTP请求的许多应用程序之一，因此可以在不运行或安装HTTP.sys的情况下加载HTTP.sys。

Windows通过内核模式驱动程序(HTTP.sys)将HTTP.sys作为网络子系统的一部分实现。HTTP.sys实际上是侦听HTTP请求并将其传递给负责处理请求的应用程序(例如IIS/WinRM等)。它还负责将HTTP响应传递回客户端应用程序(例如，web浏览器、powershell等)。HTTP.sys(超文本传输协议栈)

使用HTTP.sys的应用程序/服务示例: ADFS、Powershell远程处理(使用WinRM)、SSDP (简单服务发现协议)、UPnP (通用即插即用)、Web应用代理、Win Media Extender、WinRM (Windows )

请注意，您可以运行netsh http show servicestate来查看使用HTTP.sys的是什么。

Answer 2

这个reddit为我们提供了一些基于所报道的利用的信息。正如您可能看到的，这是一个关于“范围”HTTP头中的验证的问题。一些用户报告在向他们的web服务器发出上述请求后立即获得BSoD。

更正:因此，正如看上去的那样，您不必运行IIS就会受到此漏洞的影响。

编辑：

其中一个帖子说：

"HTTP.sys是一种驱动程序，用于许多方面，不仅仅是IIS。我仍然在客户端跟踪它，但从最初的调查开始，SSDP、UPnP、WinRM、Powershell远程处理、Win Media Extender.“

有人甚至说：

也怀疑ADFS。编辑:是的，可能是蓝屏。

更糟糕的是，问题在于内核，正如公告中的官方解决方案所指出的那样。