El Centro de respuesta de seguridad de Microsoft publicó ayer un aviso de seguridad sobre un problema de denegación de servicio (DoS) que afecta a IIS (Internet Information Services).

Gal Goldshtein de F5 ha descubierto un problema en cómo el servidor IIS de Microsoft maneja las peticiones HTTP/2 que puede llevar a una denegación de servicio (CPU al 100% de forma que caducan las conexiones). El problema se debe a cómo maneja el número de frames el servidor. Un atacante podría enviar un valor de SETTINGS muy alto y hacer que el consumo de recursos del servidor sea tan elevado que se vuelva inestable.

Los servidores IIS incluidos con Windows 10 y Windows Server 2016 se ven afectados por una vulnerabilidad al procesar las solicitudes HTTP/2. Se ha publicado una actualización que permite establecer el límite de SETTINGS HTTP/2 que manejables por el servidor, que hasta ahora no eran predefinidos por Microsoft.

Microsoft dice que hay circunstancias en las que los servidores IIS que procesan solicitudes HTTP/2 pueden hacer que el uso de la CPU aumente al 100%, bloqueando o ralentizando de manera efectiva todo el sistema. Fuera de la advertencia de seguridad ADV190005 de Microsoft, no hay otros detalles públicos disponibles sobre esta vulnerabilidad.

HTTP/2 permite a los clientes especificar cualquier número de frames. En algunas situaciones, la configuración excesiva puede hacer que los servicios se vuelvan inestables y se produzca un aumento temporal del uso de la CPU hasta que se alcance el tiempo de espera de la conexión y se cierre la conexión

El problema se resolvió agregando la capacidad de definir umbrales en la cantidad de parámetros de  SETTINGS, incluidos en una solicitud HTTP/2 que un servidor IIS podría manejar.

Las actualizaciones acumulativas KB4487006, KB4487011, KB4487021 y KB4487029 se lanzaron hace dos días para solucionar el error de DoS en IIS, por lo que se recomienda actualizar a la brevedad.

Fuente: Microsoft