В Windows Servers с IIS найден баг, приводящий к DoS

Системы Windows Servers с Internet Information Services (IIS) уязвимы к атакам вида denial-of-service (DoS). Вызвать отказ в обслуживании можно с помощью вредоносных запросов HTTP/2. Сама Microsoft подтвердила наличие этой проблемы безопасности.

Таким образом, злоумышленник может спровоцировать отказ в обслуживании, отправляя специально созданные запросы HTTP/2, что приведет к серьезной нагрузке на центральный процессор.

«Microsoft в курсе, что с помощью вредоносных запросов HTTP/2, отправленных на Windows Server с запущенным Internet Information Services (IIS), можно вызвать отказ в обслуживании», — говорится в сообщении Microsoft.

«Это может привести к временному увеличению нагрузки на CPU до 100%, пока вредоносные соединения не будут оборваны самим IIS».

«Спецификация HTTP/2 позволяет клиентам определять любое число фреймов SETTINGS с любым числом параметров SETTINGS. В некоторых ситуациях чрезмерные настройки могут спровоцировать нестабильность сервисов и привести к увеличению нагрузки на процессор».

Уязвимость затрагивает Windows 10, Windows Server и Windows Server 2016.