Weer een PoC exploit voor kritiek lek in Windows
De afgelopen dagen zijn er verschillende exploits en "proof-of-concepts" voor lekken in Windows en andere Microsoft software verschenen. Een proof-of-concept laat zien hoe een lek misbruikt kan worden, en wordt vaak na het verschijnen door virusschrijvers en andere aanvallers gebruikt om ongepatchte systemen mee aan te vallen. Inmiddels is er weer een PoC exploit voor een kritiek lek in Windows gepubliceerd, waardoor een aanvaller op afstand een computer kan laten crashen. Het betreft dit keer de TCP/IP lekken in Windows 2000, XP Service Pack 1 en 2, Server 2003 en Windows 9x, die met de update van Microsoft Security Bulletin MS05-019 gepatcht werden.
Microsoft noemt in haar bulletin de mogelijkheid van remote code execution, waardoor een aanvaller controle over de machine zou kunnen krijgen; daarvan is in deze exploit gelukkig nog geen sprake. Zodra iemand ontdekt hoe dat wel moet en dat eveneens publiceert, kunnen wormen vergelijkbaar met MS Blaster niet worden uitgesloten. De MS Blaster worm heeft destijds ook in bedrijfsnetwerken veel schade op ongepatchte computers aangericht. Microsoft heeft voor NT4 en Win98/ME geen (gratis) patches beschikbaar gesteld.
Meer informatie is te vinden op de volgende pagina's:
Met dank aan de altijd oplettende Erik van Straten voor het melden van dit nieuws
DoS exploits heb je niks aan!
Als die DoS bestaat uit het crashen van de (Windows) server dan lijkt hij
mij effectiever dan een DDoS en zelfs door individuele personen uit te
voeren zonder de beschikking over een bot netwerk te hebben.
geroute zullen worden. Microsoft schrijft: "This attack requires that routers
forward malformed IP network packets. Most routers will not forward these
kinds of malformed IP network packets."
> "Most routers will not forward these kinds of malformed
> IP network packets."
Ik ben geen netwerk expert, maar het zou me niet verbazen
als dit vooral wishful thinking is (als iemand met kennis
van zaken me kan/wil verbeteren graag).
Een beetje Googlen wijst in elk geval uit dat het analyseren
van pakketjes met IP options in routers veel performance kan
kosten. Cisco biedt daarom de mogelijkheid om alle pakketjes
met IP options te droppen, of om allen, zonder ze te
analyseren, door te laten. Beide optionele instellingen
kunnen legitiem verkeer met IP options blokkeren. Het is de
vraag of alle grote ISP's malformed pakketjes (gaan)
tegenhouden (als op deze site het dichtzetten van poort 25
genoemd wordt, schreeuwen sommigen al moord en brand).
Ook al heb ik het met routers niet bij het rechte eind: de
meeste bedrijven hadden ten tijde van Blaster, Nachi en
Sasser al firewalls die deze krengen buiten de deur hielden,
todat ze via besmette notebooks of VPN tunnels werden
binnenbracht. Bovendien vormt veel malware tegenwoordig een
"blended threat" waarbij vaak alle (of random) hosts in een
subnet op verschillende vulnerabilties worden "geprobed".
Zie bijv.
http://www.sarc.com/avcenter/venc/data/w32.spybot.nyt.html,
die door een MSN worm gedropped kan worden, o.a. scant op
een drietal MS vulns en kennelijk via IRC contact onderhoudt
met p0w3r.chillenderwijs.info.
Erik van Straten
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
