image

Microsoft en Cisco dichten ernstig TCP-lek

woensdag 9 september 2009, 08:33 door Redactie, 14 reacties

Microsoft heeft tijdens patchdinsdag ook een zeer ernstig beveiligingslek in TCP gedicht, waardoor het vrij eenvoudig was om webservers voor langere tijd uit te schakelen. Ook Cisco, Checkpoint en andere leveranciers kwamen met updates voor het probleem, dat in webservers, routers en firewalls aanwezig is. Het "Sockstress" probleem kwam voor het eerst in de Beveiligingsupdate podcast van 30 september vorig jaar aan het licht. Volgens Govcert is door de beperkte brandbreedte het moeilijk een aanval te detecteren, vooral omdat het netwerkverkeer van de aanvaller op heel gewoon legitiem netwerkverkeer lijkt. Dat toont meteen de ernst van het probleem aan, aangezien er weinig bandbreedte en minimale middelen nodig zijn om de aanval uit te voeren. De softwaregigant gaat in dit artikel dieper op de TCP-kwetsbaarheid in.

Drive-by downloads
Voor Windows-gebruikers is dit niet de enige patch die ze moeten installeren. Microsoft verhielp ook twee lekken in het Windows Media Format. Door kwaadaardige code in een MP3 of ASF-bestand te plaatsen, zou een aanvaller het systeem over kunnen nemen. Daarnaast behoren ook kwetsbaarheden in JScript en het DHTML Editing Component ActiveX Control tot het verleden. In beide gevallen volstond het bezoeken van een kwaadaardige website met Internet Explorer om een aanvaller willekeurige code uit te laten voeren.

Verder is ook een ernstig lek in de Windows Wireless LAN AutoConfig Service gepatcht. Via de kwetsbaarheid liepen systemen gevaar als een client of server met een draadloze netwerk interface speciaal geprepareerde "wireless frames" zou ontvangen. Updaten kan via de Automatische Update functie en Windows Update.

Reacties (14)
09-09-2009, 08:47 door Ilja. _V V
WOW!!!

Cisco volgt Microsoft!!!

WOW!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
09-09-2009, 09:15 door Anoniem
Door Ilja. _\\//: WOW!!!

Cisco volgt Microsoft!!!

WOW!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Cisco had mijn vertrouwen toch al verloren en ik noem ze al even lang de Microsoft van netwerkland. Helaas heb ik te lang moeten werken met die rommel en helaas doen m'n klanten dat nog regelmatig.
09-09-2009, 09:39 door Napped
Ik kreeg inderdaad een SMS van de waarschuwingsdienst... Echter leek het mij BS dat er een on aangekondigde patch was.... Toch maar eens beter die security Bulletins lezen.
09-09-2009, 10:06 door Anoniem
Er zijn hier op één van de pc's al twee updates die het vertikken om te installeren namelijk:
Update MS Silverlight (KB974331)
en
MS XML Core Services 4.0 SP2
Geen idee hoe dat komt???
09-09-2009, 10:35 door Bitwiper
Ik maak me vooral zorgen over de "TCP Timestamp" vulnerability (CVE-2009-1925) in Vista en W2k8 (beide zowel 32 als 64 bit).

De nieuwe TCP/IP stack die MS bij die besturingssystemen geïntroduceerd heeft bevat kennelijk een bug waardoor een "function pointer" met gegevens uit een TCP pakket kan worden overschreven (d.w.z. als een aanvaller een TCP pakket zo kan maken dat die function pointer naar code elders in dat pakket wijst heb je een remote execution probleem, ongetwijfeld met SYSTEM rechten). Voor oudere besturingssystemen (inclusief XP) zou uitsluitend sprake zijn van een DoS mogelijkheid.

Microsoft geeft aan dat deze bug onder Vista en W2k8 lastig te exploiten is, maar de ervaring leert dat er in veel van dergelijke gevallen slimmerds zijn die het toch lukt. Als dat kan dan is dit een "wormable" kwetsbaarheid.

Windows 7 wordt niet genoemd, en er zijn dus geen patches voor. Het zou me verbazen als deze niet kwetsbaar zou zijn voor de meeste van de gisteravond gepatchte kwetsbaarheden, waaronder de TCP Timestamp bug. Maar Windows 7 machines zullen nog niet zoveel als internet server gebruikt worden vermoed ik.

M.b.t. internet facing W2k8 servers zal deze kwetsbaarheid wel eens grotere impact kunnen hebben dan de IIS FTP kwetsbaarheid. Patch now!
09-09-2009, 12:36 door Anoniem
Grappig dat Microsoft de eerste is die een patch heeft en dat de Linux op zich laat wachten..

RedHat geeft aan dat je het aantal connecties per client moet verlagen tot er een patch beschikbaar is.. Jammer alleen dat je nogal wat connecties nodig hebt per web-sessie als je een webservertje op linux hebt draaien..
Mij benieuwen hoeveel dagen Linux volgt na Microsoft..
09-09-2009, 12:43 door Sokolum
Door Bitwiper:

Windows 7 wordt niet genoemd, en er zijn dus geen patches voor. Het zou me verbazen als deze niet kwetsbaar zou zijn voor de meeste van de gisteravond gepatchte kwetsbaarheden, waaronder de TCP Timestamp bug. Maar Windows 7 machines zullen nog niet zoveel als internet server gebruikt worden vermoed ik.


De lek was al eerder bekend, namelijk in 2008. Windows 7 hebben al zo kunnen ontwerpen dat het niet meer voor die lek gevoelig is, ze hebben gewacht met het uitbrengen van de hotfixes voor Windows XP, Vista, 2008, omdat alles valt te reverse engineering.
09-09-2009, 14:07 door Anoniem
Als ik het artikel goed lees kun je beter niet patchen. Door het lek te dichten is het immers vrij eenvoudig om webservers voor langere tijd uit te schakelen...
09-09-2009, 14:44 door Anoniem
Door Anoniem: Grappig dat Microsoft de eerste is die een patch heeft en dat de Linux op zich laat wachten..

RedHat geeft aan dat je het aantal connecties per client moet verlagen tot er een patch beschikbaar is.. Jammer alleen dat je nogal wat connecties nodig hebt per web-sessie als je een webservertje op linux hebt draaien..
Mij benieuwen hoeveel dagen Linux volgt na Microsoft..

Gelul, Linux heeft in april 2008 al een patch uitgebracht.
http://www.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.25

Beetje droevig dat Microsoft pas 16 maanden later een patch kan uitbrengen.
09-09-2009, 14:45 door Anoniem
Door Anoniem: Grappig dat Microsoft de eerste is die een patch heeft en dat de Linux op zich laat wachten..

RedHat geeft aan dat je het aantal connecties per client moet verlagen tot er een patch beschikbaar is.. Jammer alleen dat je nogal wat connecties nodig hebt per web-sessie als je een webservertje op linux hebt draaien..
Mij benieuwen hoeveel dagen Linux volgt na Microsoft..


In Linux zit de patch reeds sinds april 2008 ;) In de CVE staan enkel versie's t/m 2.6.24. Dat redhat nog geen nieuwe kernel beschikbaar heeft gestelt tja dat heeft weinig met linux zelf te maken.
09-09-2009, 16:24 door Anoniem
Door Anoniem: Beetje droevig dat Microsoft pas 16 maanden later een patch kan uitbrengen.

Inderdaad en dan nog het lef hebben om dit met veel bombarie aan te kondigen alsof zij het wiel uitgevonden hebben.
09-09-2009, 16:44 door Anoniem
Ik denk dat Windows7 nog veel meer lekken heeft dan Vista,want het Os staat nog in de kinderschoenen.
Vista is verder ontwikkeld,dus denk ik ook wel wat veiliger in het gebruik.
09-09-2009, 17:07 door Anoniem
Door Anoniem: Ik denk dat Windows7 nog veel meer lekken heeft dan Vista,want het Os staat nog in de kinderschoenen.
Vista is verder ontwikkeld,dus denk ik ook wel wat veiliger in het gebruik.


ik denk dat dat vast wel meevalt, de bugs die in vista en xp zaten hebben ze natuurlijk niet in windows 7 zitten.
09-09-2009, 17:22 door Ilja. _V V
Door Anoniem: Er zijn hier op één van de pc's al twee updates die het vertikken om te installeren namelijk:
Update MS Silverlight (KB974331)
en
MS XML Core Services 4.0 SP2
Geen idee hoe dat komt???
Beetje af onderwerp, maar goed, probeer deze eens:
http://www.microsoft.com/silverlight/get-started/install/default.aspx & dan doet SilverLight het meestal wel & deze
http://www.microsoft.com/downloads/details.aspx?familyid=3144b72b-b4f2-46da-b4b6-c5d7485f2b42&displaylang=en voor de XML Core. Kijk even in je software of je SP3 of hoger niet al per ongeluk geïnstalleerd hebt., zoniet is het meestal een "Ik ga akkoörd"-probleem tijdens Automatische Update, anders de systeemvereisten...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.