De windows-servrar som kör Internet Information Services (IIS) kan relativt enkelt, men tillfälligt, överbelastas med hjälp av avsiktligt felkonstruerade http/2-förfrågningar, det skriver Cyber Defence Magazine.
Förövare kan trigga en överbelastning genom att skicka speciella http/2-förfrågningar som får processorn på IIS-servern att temporärt toppa belastningen till 100 procent innan de skadliga processerna tajmar ut.
Microsoft skriver i en säkerhetsuppdatering att specifikationen för http/2 tillåter klienter att specificera ett godtyckligt antal SETTINGS-ramar med ett godtyckligt antal SETTINGS-parametrar. I vissa situationer kan överdrivet användande av dessa ramar destabilisera vissa tjänster och få processorn att temporärt spika tills kopplingarna tajmar ut och kopplingarna avslutas.
Sårbarheten påverkar Windows 10, Windows Server och Windows Server 2016. Upptäckten kommer från Gal Goldshtein på F5 Networks som i november 2018 upptäckte en liknande sårbarhet i webbservern nginx.
Microsoft har släppt uppdateringar som adresserar sårbarheten; de har implementerat möjligheten att sätta trösklar för http/2 SETTINGS, men dessa trösklar har ingen initial värde, utan administratörer av IIS måste sätta dem själva. I en artikel beskriver Microsoft hur det bör gå till.
Läs också:
Microsoft kräver SHA-2 för uppdateringar av Windows 7 och Server 2008
Se upp för rdp-servrar, de kan hacka klienterna
