Nu har de första analyserna av sårbarheten MS11-083 börjar dyka
upp i bloggar och Tweets.
Och som det ser ut nu så går det att utnyttja sårbarheten
över större routeade nätverk, som t.ex. internet, men….
Sårbarheten beror på hur Windows hanterar ICMP reject för
UDP-portar utan tjänster. Av olika anledningar så skickar den inte ICMP rejects
direkt utan väntar en stund mellan varje. Skickar du då många UDP-paket till en
port som inte används så buffrar rejectsen. Antalet rejects sparas i refcount
och det är hantering av den bufferten när den blir full som inte är snyggt
löst. Eller snarare icke hanteringen. Man tror att refcount har en standard
storlek på 2^32 bitar, men eftersom Microsoft sätter den till Critical
spekuleras det om den kan vara 2^16 bitar stor istället.
Med en 2¨32 bitar stor buffer skulle man behöva skicka mer
än 110 GB med data för att fylla bufferten, men bara 2 MB om den är på 2^16 bitar.
Än så länge har jag inte hittat någon demo på hur det skulle
gå till, förutom rent spekulativa som den ovan. Vi får vänta och se.
Jag känner att jag behöver förklara varför jag skrev MSKD i
titeln.
Det är alltid intressant när en tillverkare vill att man ska
köpa allt ifrån dem. Det finns stora fördelar som t.ex. kompabilitet, integration
och administration. Det intressanta blir i sådana scenarion som just denna då
det finns ett dokument för hur Microsoft tycker att ni ska lösa eran design i kombinationen
med en sårbarhet som kan slå väldigt hårt mot just MS OS.
I sin förlängning så har det inte bara med Microsoft att
göra utan alla större tillverkare som kan erbjuda en helhets lösning av något
slag. T.ex. IBM, HP, Cisco eller Apple.
Ordspråket lyder: Lägg inte alla ägg i samma korg
Vilka ligger då i riskzonen? Alla som har ett system som
exponerar en UDP-port.
Om attacken skulle komma från internet så är följande system
utsatta för riken:
Klienter som sitter mot internet utan annan brandvägg en den
lokala (oavsett märke på brandvägg) – T.ex. klienter på 3G modem är ett exempel.
Servrar som siter mor internet utan annan brandvägg en den
lokala - T.ex. ISA och TMG
Servar som sitter bakom en, regelmässigt, lite för frikostig
brandvägg – T.ex. där man har låter DNS (UDP 53) vara öppet mot flera servrar
än de som har tjänsten. Ett helt DMZ.
I den senare kategorin så hittar vi tyvärr den senaste
trenden när det gäller brandväggar – Applikationsbrandväggen. Entusiasterna för
denna typ av brandvägg har ifrågasatt syftet med portfiltrering när man ändå
filtrerar på vilka applikationer som får gå igenom.
Det kommer bli mycket mer jobb för dessa entusiaster att
täppa till alla portar som inte används om det kommer ett färdigt exploit för
MS11-083
Så hur skyddar man sig.
Det lustiga är att som hem användare så räcker din D-Link
eller Thomson. Bara den inte släpper in UDP-trafik till servrar utan tjänster.
För företag och offentliga sektorn så gäller mer eller mindre
samma sak.
Säkra att din MS servrar inte exponerar UDP-portar utan
tjänster mot internet. Brandväggs och IPS revision.
