image

Microsoft: Windows UDP-lek lastig voor hackers

woensdag 9 november 2011, 10:20 door Redactie, 12 reacties

Microsoft heeft tijdens de patchcyclus van november vier lekken verholpen, waaronder één zo ernstig dat een aanvaller door het versturen van UDP-pakketten kwetsbare systemen kan overnemen. De belangrijkste update is Microsoft Security Bulletin MS11-083, voor een lek in TCP/IP, waardoor het uitvoeren van willekeurige code mogelijk is. Door het sturen van een continue stroom van speciaal geprepareerde UDP-pakketten naar een gesloten poort van een systeem, kan een aanvaller een integer overflow veroorzaken en het systeem vervolgens overnemen.

De kwetsbaarheid bevindt zich in Vista, Windows 7 en Serveer 2008 en is zowel een risico voor werkstations als servers. Het lek werd direct aan Microsoft gerapporteerd en er zijn ook nog geen aanwijzingen dat de kwetsbaarheid in het "wild" wordt misbruikt. Die kans acht Microsoft ook zeer klein.

Exploit
"Hoewel het laatste scenario theoretisch tot het op afstand uitvoeren van code kan leiden, denken we dat dit lastig uit te voeren is, gezien het soort netwerkpakketten die bij de perimeter worden gefilterd en het kleine tijdvenster tussen de release en volgende toegang van de structuur, en het grote aantal pakketten dat nodig is om de aanval uit te voeren", zegt Ali Rahbar van het Microsoft Security Response Center.

Microsoft heeft het lek daarom een "Exploitability Index" van "2" toegekend. Dit betekent dat hackers exploitcode kunnen ontwikkelen, maar dat het waarschijnlijk tot "inconsistente resultaten" zal leiden.

Updates
Verder werden deze maand ook lekken in Windows Mail en Windows Meeting, Active Directory en Windows Kernel-Mode Drivers verholpen. Opmerkelijk genoeg krijgt Windows XP deze maand minder updates te verwerken dan Vista en Windows 7.

Een update voor het onlangs onthulde lek in de Windows-kernel, waardoor het Duqu-virus zich verspreidt, is niet uitgekomen, maar dat had Microsoft al aangekondigd. In plaats daarvan kunnen gebruikers een fix downloaden. Het installeren van de nieuwste updates kan via Windows Update of de Automatische Update functie.

Reacties (12)
09-11-2011, 11:17 door SirDice
Door het sturen van een continue stroom van speciaal geprepareerde UDP-pakketten naar een gesloten poort van een systeem, kan een aanvaller een integer overflow veroorzaken en het systeem vervolgens overnemen.

Geldt dit ook als die poort dicht is door de Windows firewall?
09-11-2011, 11:19 door Anoniem
Voor zover geweten wel.
09-11-2011, 11:20 door Anoniem
Door SirDice: Geldt dit ook als die poort dicht is door de Windows firewall?
Zo als ik het begrijp. Juist als de poort dicht is!
09-11-2011, 12:32 door Anoniem
Als het lek of zwakheid in het systeem/software eenmaal bekend is,reken maar dat er hackers zijn die dit zullen misbruiken, dus de bewering van microsoft dat het wel niet of in elk geval niet op grote schaal misbruikt zal worden vindt ik nergens op slaan.Als een aanvaller het hele systeem kan overnemen dan is dat erg aanlokkelijk.En dus moet dit met spoed gepatched worden.
09-11-2011, 13:23 door Dev_Null
Hebben ze daar bij Mickey$oft nu zulke slechte ontwerpers / programmeurs / coding-tools / generator of
is er weer een van de reeds ingebouwde backdoors ontdekt?
09-11-2011, 13:24 door SirDice
Door Anoniem:
Door SirDice: Geldt dit ook als die poort dicht is door de Windows firewall?
Zo als ik het begrijp. Juist als de poort dicht is!
Er is een groot verschil tussen een dichte poort en een gefirewallde poort. Een dichte UDP poort zal met een ICMP port unreachable reageren, een gefirewallde poort reageert helemaal niet.

Omdat er gesproken wordt over een stroom pakketten die een integer kunnen oversteigen gok ik er eerder op dat dat komt vanwege de verwerking van de ICMP response. Deze respons is er niet als er een firewall actief is.

Verder wordt er met geen woord gerept over het wel of niet aan hebben van de firewall. Indien dit probleem ook op zou treden wanneer deze actief is had ik daarvan een melding verwacht.
09-11-2011, 13:37 door Mameomowskwooz
Door SirDice:
Er is een groot verschil tussen een dichte poort en een gefirewallde poort. Een dichte UDP poort zal met een ICMP port unreachable reageren, een gefirewallde poort reageert helemaal niet.

Omdat er gesproken wordt over een stroom pakketten die een integer kunnen oversteigen gok ik er eerder op dat dat komt vanwege de verwerking van de ICMP response. Deze respons is er niet als er een firewall actief is.

Verder wordt er met geen woord gerept over het wel of niet aan hebben van de firewall. Indien dit probleem ook op zou treden wanneer deze actief is had ik daarvan een melding verwacht.

Zie http://technet.microsoft.com/en-us/security/bulletin/ms11-083 Onder kopje "Workarounds for Reference Counter Overflow Vulnerability - CVE-2011-2013"

Workaround refers to a setting or configuration change that does not correct the underlying vulnerability but would help block known attack vectors before you apply the update. Microsoft has tested the following workarounds and states in the discussion whether a workaround reduces functionality:

Block unused UDP ports at the perimeter firewall
Blocking unused (closed) UDP ports at the perimeter firewall helps protect systems that are behind that firewall from attempts to exploit this vulnerability. For more information about ports, see the TechNet article, TCP and UDP Port Assignments.
09-11-2011, 13:41 door SirDice
Perimeter firewall, ja, duh, dan komen die pakketjes al niet eens meer aan bij die machine. Ik heb het over de Windows firewall, je weet wel, dat ding wat op dezelfde machine draait.
09-11-2011, 17:37 door Mameomowskwooz
Door SirDice: Perimeter firewall, ja, duh, dan komen die pakketjes al niet eens meer aan bij die machine. Ik heb het over de Windows firewall, je weet wel, dat ding wat op dezelfde machine draait.

Dreigt haast een semantische discussie te worden zo; De NL-site van Microsoft (lijkt) iets duidelijker....

Tijdelijke oplossingen zijn wijzigingen in een instelling of configuratie waardoor het beveiligingslek zelf niet wordt gedicht, maar waarmee aanvalsvectoren wel worden geblokkeerd voordat u de update uitvoert. Microsoft heeft de volgende methoden en statussen om het probleem te omzeilen getest om uit te zoeken of een tijdelijke oplossing functionaliteit vermindert:

Ongebruikte UDP-poorten op de firewall blokkeren
Als u ongebruikte (gesloten) UDP-poorten op de firewall blokkeert, worden systemen achter die firewall beschermd tegen pogingen tot misbruik van dit beveiligingslek. Zie het TechNet-artikel TCP and UDP Port Assignments voor meer informatie over poorten. Zie het TechNet-artikel How to Configure Windows Firewall on a Single Computer voor meer informatie over de Windows Firewall.
10-11-2011, 08:23 door SirDice
Door Mameomowskwooz: Dreigt haast een semantische discussie te worden zo; De NL-site van Microsoft (lijkt) iets duidelijker....
Niet echt. Men heeft het nog steeds over een afzonderlijke firewall.
10-11-2011, 09:36 door Dev_Null
Er is een groot verschil tussen een dichte poort en een gefirewallde poort. Een dichte UDP poort zal met een ICMP port unreachable reageren, een gefirewallde poort reageert helemaal niet.
Leuke aannames en gokwerk hier :-)
Waar is het technische bewijs om argumenten te staven in de vorm van bijv:
- ge-re-engineerde "firewall software, Windows Kernels, en TCP-IP stack implementaties?
- Netwerk traffic dumps van de betrokken pc ?
10-11-2011, 12:00 door SirDice
Door Dev_Null:
Er is een groot verschil tussen een dichte poort en een gefirewallde poort. Een dichte UDP poort zal met een ICMP port unreachable reageren, een gefirewallde poort reageert helemaal niet.
Leuke aannames en gokwerk hier :-)

Gokwerk?

http://tools.ietf.org/html/rfc1122#page-77
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.