Inicio / Actualidad / Microsoft publica una alerta de seguridad sobre un error de IIS que causa picos de uso de CPU del 100%

Microsoft publica una alerta de seguridad sobre un error de IIS que causa picos de uso de CPU del 100%

Microsoft publica actualizaciones para corregir errores que congelaron los sistemas cuando IIS manejaba solicitudes HTTP / 2 mal formadas.

El Centro de respuesta de seguridad de Microsoft publicó ayer un aviso de seguridad sobre un problema de denegación de servicio (DOS) que afecta a IIS (Internet Information Services), la tecnología de servidor web de Microsoft.

 

Los piratas informáticos usan bancos comprometidos como puntos de partida para ataques de phishing

 

 

Según Microsoft, los servidores IIS incluidos con Windows 10 y Windows Server 2016 se ven afectados por una vulnerabilidad al procesar las solicitudes HTTP / 2.

HTTP / 2 es la última versión del protocolo HTTP que respalda lo que se conoce como World Wide Web (www), la parte de Internet a la que los usuarios normales pueden acceder en sus navegadores.

Microsoft dice que hay circunstancias en las que los servidores IIS que procesan solicitudes HTTP / 2 pueden hacer que el uso de la CPU aumente al 100%, bloqueando o ralentizando de manera efectiva todo el sistema.

Gal Goldshtein, un ingeniero de software de F5 Networks, descubrió el problema. Fuera de la advertencia de seguridad ADV190005 de Microsoft , no hay otros detalles públicos disponibles sobre esta vulnerabilidad.

En su aviso, Microsoft describió el problema de la siguiente manera:

La especificación HTTP / 2 permite a los clientes especificar cualquier número de marcos de CONFIGURACIÓN con cualquier número de parámetros de CONFIGURACIÓN. En algunas situaciones, la configuración excesiva puede hacer que los servicios se vuelvan inestables y se produzca un aumento temporal del uso de la CPU hasta que se alcance el tiempo de espera de la conexión y se cierre la conexión.

El fabricante del sistema operativo basado en Redmond resolvió el problema agregando la capacidad de definir umbrales en la cantidad de parámetros de CONFIGURACIÓN incluidos en una solicitud HTTP / 2 que un servidor IIS podría manejar.

Después de aplicar las actualizaciones, los administradores de IIS podrán personalizar el umbral de CONFIGURACIÓN HTTP / 2 y evitar que el error congele los servicios web de IIS.

“Los umbrales deben ser definidos por el administrador de IIS”, dijo la compañía, “no están predeterminados por Microsoft”.


Comenta y comparte con nosotros en nuestra red social, Facebook .

Fuente: zdnet

Vea También

Los piratas informáticos usan bancos comprometidos como puntos de partida para ataques de phishing

Los ciberdelincuentes que atacan a bancos y organizaciones financieras utilizan su lugar en una infraestructura …

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.