Im Security Bulletin MS15-034 beschreibt Microsoft eine kritische Lücke als Sicherheitsproblem in HTTP.sys, einer in Microsofts Internet Information Services (IIS) genutzte Komponente.
Diese Sicherheitslücke erlaubt sogar die Remotecodeausführung, wenn Angreifer eine speziell gestaltete HTTP-Anforderung an ein betroffenes Windows-System senden. Die Schwachstelle hat in der National Vulnerability Database (NVD) die Kennung CVE-2015-1635.
In diversen Honeypot-Fallen sehen Sicherheitsexperten, dass die Lücke schon aktiv ausgenutzt wird, allerdings bisher meist nur für DoS-Angriffe und noch nicht zur Remote-Ausführung von Code.
Das von Microsoft schon bereitgestellte Sicherheitupdate behebt das Problem, indem es die Verarbeitung der Anforderungen durch den HTTP-Stapel von Windows ändert. Das Update sollte bei Internetservern unter Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows 8.1 sowie Windows Server 2012 R2 eingespielt werden, um die Geräte wieder sicher zu machen.
Netcraft schätzt, dass fast eine Million Internetserver mit ca. 70 Millionen Websites von dem Problem betroffen sind.