image

Exploit voor kersvers Windows webserver-lek

dinsdag 10 januari 2012, 09:41 door Redactie, 6 reacties

Er is een exploit voor een net gepatcht beveiligingslek in Windows verschenen, waarmee aanvallers vrij eenvoudig webservers uit de lucht kunnen halen. Het gaat om de hash collission Denial of Service-kwetsbaarheid in ASP.NET. Door het sturen van een speciaal geprepareerde HTTP request, die kleiner dan 100kb is, kan een aanvaller de processor honderd procent belasten. Vanwege de ernst van het probleem besloot Microsoft net voor het einde van het jaar een noodpatch uit te brengen.

De exploit werd op de Full-disclosure mailinglist gepubliceerd en is via Github te downloaden. "get it. use it. spread it. We are Legion. Expect us", aldus "HybrisDisaster", de auteur van de exploit. Hij stelt dat mensen de exploit, die van eenvoudig uit te voeren instructies is voorzien, naar eigen inzicht moeten gebruiken.

Reacties (6)
10-01-2012, 10:15 door SLight
Hier had je op kunnen wachten voordat iemand een exploit zou gaan maken voor een ernstig gepatcht lek. Laat me raden een (elite) hacker die lid is van Anonymous.
10-01-2012, 10:50 door Bitwiper
De gepubliceerde PoCs zijn groter dan 100KB, nl. 1MB en 4MB (maar met moderne netwerken maakt dat niet zoveel uit).

Ryan Barnett, hoofdauteur van de ModSecurity Core Rules (zie https://www.owasp.org/index.php/Category:OWASP_ModSecurity_Core_Rule_Set_Project) heeft "ModSecurity mitigation options" geschreven (zie zijn comment onderaan http://isc.sans.edu/diary/MS11-100+DoS+PoC+exploit+published/12355).

ModSecurity is een open source WAF (Web Application Firewall) geschreven door Ivan Risti? (zie http://blog.ivanristic.com/modsecurity/ en http://www.modsecurity.org/). Je realiseert zo'n WAF door Apache als reverse proxy voor je webserver te zetten, ModSecurity en de core rule set te installeren en de zaak te configureren (tunen) voor de specifieke webserver en applicatie(s) daarop. Erg eenvoudig is dat overigens niet.
10-01-2012, 11:54 door Anoniem
Dus nu kan iedere script kiddie een webserver platleggen....
Goed voor de security awareness! :)

Anonymous voorziet prima in zijn doelgroep..
10-01-2012, 12:13 door Anoniem
Door Bitwiper: De gepubliceerde PoCs zijn groter dan 100KB, nl. 1MB en 4MB (maar met moderne netwerken maakt dat niet zoveel uit).

Ryan Barnett, hoofdauteur van de ModSecurity Core Rules (zie https://www.owasp.org/index.php/Category:OWASP_ModSecurity_Core_Rule_Set_Project) heeft "ModSecurity mitigation options" geschreven (zie zijn comment onderaan http://isc.sans.edu/diary/MS11-100+DoS+PoC+exploit+published/12355).

ModSecurity is een open source WAF (Web Application Firewall) geschreven door Ivan Risti? (zie http://blog.ivanristic.com/modsecurity/ en http://www.modsecurity.org/). Je realiseert zo'n WAF door Apache als reverse proxy voor je webserver te zetten, ModSecurity en de core rule set te installeren en de zaak te configureren (tunen) voor de specifieke webserver en applicatie(s) daarop. Erg eenvoudig is dat overigens niet.

Ik ben altijd benieuwd hoe Apache als WAF omgaat met zoiets fijns als Slowloris..houdt mod_security slowloris nu tegen?
Anders heb je niks aan Apache als WAF.
10-01-2012, 12:52 door Bitwiper
Door Anoniem op 20120110 12:13: Ik ben altijd benieuwd hoe Apache als WAF omgaat met zoiets fijns als Slowloris..houdt mod_security slowloris nu tegen?
Na even googlen: nee, uit http://ha.ckers.org/blog/20090620/http-longevity-during-dos/:
RSnake Says on June 22nd, 2009 at 1:11 pm: @Jamie - I’ve spoken with Ivan Ristic about mod_security and he specifically said that it runs too late to protect against Slowloris.
[...]
(RSnake is de bedenker van Slowloris).
Door Anoniem op 20120110 12:13: Anders heb je niks aan Apache als WAF.
Dat ben ik maar ten dele met je eens. Een WAF is bedoeld voor de applicatielaag (waaronder SQLi, met vaak dramatischer gevolgen dan DoS), niet de netwerklaag. Ik heb me (nog) niet verdiept in Slowloris en Apache, maar googlen naar apache slowloris mitigation lijkt interessante links op te leveren. Als jij er wat goeds over vindt lees ik dat graag!
10-01-2012, 13:03 door Anoniem
Terzijde: Een dergelijk exploit is ook beschikbaar voor bv PHP servers.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.