Microsoft опубликовала рекомендации по безопасности в своем Центре реагирования на безопасность, в которых говорится, что серверы Windows Server и Windows 10, на которых выполняются службы IIS, подвержены атакам типа «отказ в обслуживании» (DOS).

Точнее, эта проблема DoS затрагивает все серверы IIS под управлением Windows Server 2016, Windows Server версии 1709, Windows Server версии 1803, а также Windows 10 (версии 1607, 1703, 1709 и 1803).

Уязвимость, описанная в рекомендации Microsoft по безопасности ADV190005, позволяет потенциальному удаленному злоумышленнику инициировать состояние DoS, воспользовавшись ошибкой исчерпания ресурсов IIS, которая «может временно привести к увеличению загрузки ЦП системы до 100% до тех пор, пока вредоносные соединения не будут уничтожены». по IIS. »

Злоумышленники могут запускать DoS-атаки на уязвимые серверы Windows, отправляя вредоносные HTTP / 2-запросы.

В сообщении Майкрософт говорится, что нет известных мер по смягчению или обойти уязвимости, о которых сообщил Галь Гольдштейн из F5 Networks , и рекомендует всем пользователям установить Установить февральские обновления, не относящиеся к безопасности.

Как указано в Microsoft в их  рекомендации по безопасности ADV190005 :

The HTTP/2 specification allows clients to specify any number of SETTINGS frames with any number of SETTINGS parameters. In some situations, excessive settings can cause services to become unstable and may result in a temporary CPU usage spike until the connection timeout is reached and the connection is closed.

В качестве меры по смягчению, команда безопасности Redmond «добавила возможность определять пороговые значения для количества настроек HTTP / 2, включенных в запрос», «пороговые уровни, которые должны быть установлены администраторами IIS после оценки среды их систем и HTTP / 2». требования протокола, так как они не будут предварительно настроены Microsoft.

Чтобы установить эти ограничения, Microsoft добавила следующие записи реестра в уязвимые выпуски Windows 10:

Path: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters
Name: Http2MaxSettingsPerFrame
Type: DWORD
Data: Supported min value 7 and max 2796202. Out of range values trimmed to corresponding min/max end value.

Path: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters
Name: Http2MaxSettingsPerMinute
Type: DWORD
Data: Supported min value 7. Smaller value trimmed to the min value. 


Как только пороговые значения установлены в системе Windows с IIS, соединения будут немедленно разорваны:

• Если один кадр настроек содержит больше параметров настроек, чем значение «Http2MaxSettingsPerFrame»
• Если количество параметров настроек, содержащихся в нескольких кадрах настроек, полученных в течение минуты, пересекает значение «Http2MaxSettingsPerMinute»

Также важно отметить, что,  по мнению Microsoft , для считывания вновь добавленных значений реестра может потребоваться перезапуск службы или перезагрузка сервера.

Работающие серверы Windows ранее использовались злоумышленниками с помощью нулевого дня в IIS 6.0, влияющего на службу WebDAV, включенную по умолчанию во все дистрибутивы IIS, с июля 2016 года по март 2017 года.