Nieuws
image

Weer een PoC exploit voor kritiek lek in Windows

maandag 18 april 2005, 07:27 door Redactie, 4 reacties

De afgelopen dagen zijn er verschillende exploits en "proof-of-concepts" voor lekken in Windows en andere Microsoft software verschenen. Een proof-of-concept laat zien hoe een lek misbruikt kan worden, en wordt vaak na het verschijnen door virusschrijvers en andere aanvallers gebruikt om ongepatchte systemen mee aan te vallen. Inmiddels is er weer een PoC exploit voor een kritiek lek in Windows gepubliceerd, waardoor een aanvaller op afstand een computer kan laten crashen. Het betreft dit keer de TCP/IP lekken in Windows 2000, XP Service Pack 1 en 2, Server 2003 en Windows 9x, die met de update van Microsoft Security Bulletin MS05-019 gepatcht werden.

Microsoft noemt in haar bulletin de mogelijkheid van remote code execution, waardoor een aanvaller controle over de machine zou kunnen krijgen; daarvan is in deze exploit gelukkig nog geen sprake. Zodra iemand ontdekt hoe dat wel moet en dat eveneens publiceert, kunnen wormen vergelijkbaar met MS Blaster niet worden uitgesloten. De MS Blaster worm heeft destijds ook in bedrijfsnetwerken veel schade op ongepatchte computers aangericht. Microsoft heeft voor NT4 en Win98/ME geen (gratis) patches beschikbaar gesteld.

Meer informatie is te vinden op de volgende pagina's:

  • Snort.com
  • CAN-2005-0048
  • Frsirt.com
  • Full-disclosure

    Met dank aan de altijd oplettende Erik van Straten voor het melden van dit nieuws

    • Reacties (4)
    18-04-2005, 14:56 door Anoniem
    DoS exploits heb je niks aan!
    18-04-2005, 16:22 door Frans E
    Door Anoniem
    DoS exploits heb je niks aan!

    Als die DoS bestaat uit het crashen van de (Windows) server dan lijkt hij
    mij effectiever dan een DDoS en zelfs door individuele personen uit te
    voeren zonder de beschikking over een bot netwerk te hebben.
    18-04-2005, 20:03 door Anoniem
    Worm mogelijkheid is klein omdat de gemanipuleerde pakketjes niet
    geroute zullen worden. Microsoft schrijft: "This attack requires that routers
    forward malformed IP network packets. Most routers will not forward these
    kinds of malformed IP network packets."
    19-04-2005, 00:58 door Bitwiper
    Op maandag 18 april 2005 20:03 quote Anoniem Microsoft:
    > "Most routers will not forward these kinds of malformed
    > IP network packets."

    Ik ben geen netwerk expert, maar het zou me niet verbazen
    als dit vooral wishful thinking is (als iemand met kennis
    van zaken me kan/wil verbeteren graag).

    Een beetje Googlen wijst in elk geval uit dat het analyseren
    van pakketjes met IP options in routers veel performance kan
    kosten. Cisco biedt daarom de mogelijkheid om alle pakketjes
    met IP options te droppen, of om allen, zonder ze te
    analyseren, door te laten. Beide optionele instellingen
    kunnen legitiem verkeer met IP options blokkeren. Het is de
    vraag of alle grote ISP's malformed pakketjes (gaan)
    tegenhouden (als op deze site het dichtzetten van poort 25
    genoemd wordt, schreeuwen sommigen al moord en brand).

    Ook al heb ik het met routers niet bij het rechte eind: de
    meeste bedrijven hadden ten tijde van Blaster, Nachi en
    Sasser al firewalls die deze krengen buiten de deur hielden,
    todat ze via besmette notebooks of VPN tunnels werden
    binnenbracht. Bovendien vormt veel malware tegenwoordig een
    "blended threat" waarbij vaak alle (of random) hosts in een
    subnet op verschillende vulnerabilties worden "geprobed".

    Zie bijv.
    http://www.sarc.com/avcenter/venc/data/w32.spybot.nyt.html,
    die door een MSN worm gedropped kan worden, o.a. scant op
    een drietal MS vulns en kennelijk via IRC contact onderhoudt
    met p0w3r.chillenderwijs.info.

    Erik van Straten
    Reageren

    Deze posting is gelocked. Reageren is niet meer mogelijk.

    Zoeken
    search