prometido é devido e eis o primeiro post em Português.
O tema de hoje está relacionado com o boletim de segurança Microsoft MS08-001: Vulnerability in TCP/IP could allow remote code execution (http://support.microsoft.com/kb/941644/en-us).
De acordo com o artigo do site infoworld http://www.infoworld.com/article/08/01/17/Attack-code-released-for-critical-Windows-flaw_1.html, investigadores de segurança desenvolveram código para ataque a sistemas, a ser usado por profissionais de segurança que usam o software de testes de segurança Immunity's Canvas (http://www.immunitysec.com/products-canvas.shtml).
Este código de prova de conceito provoca crashes em máquinas Windows que estão susceptíveis à vulnerabilidade descrita no MS08-001 / kb 941644.
Em referência no artigo – “It reliably crashes Windows machines," disse Dave Aitel, CTO da Immunity. "In fact, it blue-screened our print server by accident -- this is a broadcast attack, after all.”
Caracteristicas técnicas da vulnerabilidade:
O Internet Control Message Protocol (ICMP) router discovery é usado nas mensagens ICMP para descobrir a default gateway num segmento de rede, quando a default gateway não está definida manualmente e não está assignada aquando a utilização de DHCP.
O ICMP router discovery consiste em duas mensagens ICMP: A 'router solicitation' e a 'router advertisement'. A router solicitation é enviada por um host para descobrir routers na rede. A router advertisement é enviada pelo router em resposta a uma solicitação e periodicamente notificar hosts na rede sobre o facto do router ainda estar disponível.
O Windows TCP/IP lida incorrectamente com mensagens fragmentadas de ICMP router advertisement. (Quando a mensagem é muito grande para ser enviada num só chunk, o protocolo IP permite que seja fragmentada em várias partes, a máquina que a recepciona é responsável por voltar a agrupar a mensagem original). Mensagens de router advertisement fragmentadas podem fazer com que o sistema leia memória inválida, levando a um crash no sistema. Visto que por este motivo a máquina tem um crash e não é possível executar código, estamos perante um tipo de ataque denial-of-service (DoS).
Notas importantes:
[WINDOWS 2000]
· O Windows 2000 não é afectado pela vulnerabilidade Windows Kernel TCP/IP/IGMPv3 e MLDv2 (CVE-2007-0069), pelo facto de usar IGMP v2 a qual não é afectada.
Para maior detalhe técnico sobre os detalhes da vulnerabilidade ao nível do sistema Windows 2000 visite o link em baixo:
MS08-001 (part 2) – The case of the Moderate ICMP mitigations
[WINDOWS 2003]· O Windows Server 2003 não tem activo por defeito o UPnP - Universal Plug and Play (*) nem outro tipo de serviços que usem endereços multicast, como tal pode não ser afectado por esta vulnerabilidade. Contudo, ao activar manualmente o UPnP ou instalar aplicações 3rd-party que usem IP multicasting, pode expor o sistema operativo a esta vulnerabilidade.
(*) UPnP: É um serviço de rede que assenta sobre IP multicast, estando activo por defeito apenas no Windows XP e Vista.
Recomendo ainda a leitura do post referido em baixo do site da equipa Microsoft Security Vulnerability & Defense, onde são respondidas diversas questões sobre a incidência desta vulnerabilidade no Windows 2003.
Link: MS08-001 - The case of the missing Windows Server 2003 attack vector
Um dos aspectos importantes a registar, é que o Windows 2003 se estiver adicionado ao grupo IGMP por defeito que é o 224.0.0.1 não está vulnerável. A razão para tal é porque o Windows ignora quaisquer queries IGMP para esse endereço.
Para analisar qual a configuração por defeito no Win2k3 Server execute na linha de comandos:
>netsh int ip show joins
Output esperado:
Interface Addr Multicast Group
--------------- ---------------
10.1.1.1 224.0.0.1
Se o servidor Windows 2003 tiver sido juntado a qualquer outro grupo multicast que não o 224.0.0.1, está vulnerável ao ataque IGMP.
Mais uma vez se executarem o comando netsh é possível identificar quais os grupos multicast a que a máquina pertence.
>netsh int ip show joins
Para ilustrar um caso de vulnerabilidade ao IGMP, se uma máquina Win2K3 Server tiver o componente WINS activo ao executar o comando netsh vão obter o seguinte output:
Interface Addr Multicast Group
--------------- ---------------
10.1.1.1 224.0.0.1
10.1.1.1 224.0.1.24
224.0.1.24 é o grupo IP multicast para o WINS. Num caso como estes, se o servidor não tiver sido actualizado está vulnerável ao ataque IGMP.
[WINDOWS XP e VISTA]
Se os sistemas descritos em baixo estão simplesmente alcançáveis e a vulnerabilidade é explorada, podem ficar comprometidos sem que para tal seja necessária a intervenção do lado do utilizador. O vector de ataque passa por criar pacotes de rede formatados de forma especial e enviá-los para o sistema que está vulnerável. Visto que se trata de um problema ao nível do TCP/IP, o sistema é afectado assim que recebe a comunicação.· Windows XP Service Pack 2, Windows XP Professional x64 Edition, Windows XP Professional x64 Edition Service Pack 2, Windows Vista e Windows Vista x64 Edition são afectados de forma crítica quando ligados em rede.
Para obter maior detalhe técnico sobre o impacto desta vulnerabilidade ao nível do Windows XP e Vista visite o link MS08-001 (part 3) – The case of the IGMP network critical.
Recomendo também a leitura do artigo technet relacionado:
Microsoft Security Bulletin MS08-001 – Critical
Vulnerabilities in Windows TCP/IP Could Allow Remote Code Execution (941644)
A imagem em baixo ilustra de forma mais clara o impacto da vulnerabilidade em cada um dos produtos:
R-Tape Loading Error,
Luís Rato
Sem comentários:
Enviar um comentário