Os servidores Windows que executam o IIS (Serviços de Informações da Internet) são vulneráveis a ataques de negação de serviço (DoS) realizados por meio de solicitações HTTP / 2 mal-intencionadas.
A Microsoft revelou que os servidores Windows que executam o IIS (Serviços de Informações da Internet) são vulneráveis à negação de serviço ataques (DoS ) .
Os invasores podem acionar uma condição de DoS enviando solicitações HTTP / 2 especialmente criadas, o uso da CPU aumentará temporariamente para 100%, forçando o IIS a eliminar as conexões mal-intencionadas.
“A Microsoft está ciente de uma possível condição que pode ser acionada quando solicitações mal-intencionadas de HTTP / 2 são enviadas para um servidor Windows que esteja executando o IIS (Serviços de Informações da Internet). Isso pode fazer com que o uso da CPU do sistema aumente 100% até que as conexões maliciosas sejam mortas pelo IIS ”, diz o comunicado de segurançapublicado pela Microsoft.
“A especificação HTTP / 2 permite que os clientes especifiquem qualquer número de quadros de CONFIGURAÇÕES com qualquer número de parâmetros de CONFIGURAÇÃO. Em algumas situações, configurações excessivas podem fazer com que os serviços se tornem instáveis e podem resultar em um pico temporário de uso da CPU até que o tempo limite da conexão seja atingido e a conexão seja fechada. ”
A falha afeta o Windows 10, o Windows Server e o Windows Server 2016.
A falha foi relatada por Gal Goldshtein, da F5 Networks, que divulgou em novembro de 2018 uma falha semelhante no software de servidor web nginx.
A Microsoft lançou atualizações para resolver o problema, a gigante de tecnologia implementou a capacidade de definir limites sobre o número de HTTP / 2 configurações incluídas em uma solicitação. Esses limites não são predefinidos pela Microsoft, mas o administrador do IIS deve defini-los. A Microsoft publicou um artigo da base de conhecimento para explicar como definir limites no número de parâmetros de configurações HTTP / 2 trocados em uma conexão.
