Een oude vorm van een DoS-aanval steekt weer de kop op, in een nieuw jasje. De zogeheten ping of death raakt Windows dankzij een fundamentele fout in een driver op kernel-niveau. Deze bug heeft meer impact.
Het afvuren van een speciaal geprepareerd http-verzoek kan een Windows-machine onderuit halen. Het gaat om een bug in de protocolstack voor webverkeer die in Windows draait op het diepe niveau van de systeemkernel. Microsoft heeft in zijn maandelijkse patchronde al een fix uitgebracht voor deze fout. Volgens de fabrikant kan succesvol misbruik zorgen voor het op afstand laten uitvoeren van code.
DoS-aanvalscode al ‘in the wild’
In het geval van moedwillig misbruik kan dat dan kwaadaardige code zijn van een aanvaller. Zo’n aanvaller heeft verder geen authenticatie op het doelsysteem nodig en diens code wordt dan ook nog eens uitgevoerd op het niveau van het diepe systeem-account. De rechten daarvan zijn veel groter dan die van gebruikers of zelfs van beheerders. In eerste instantie is er echter een ander probleem aan de orde door deze kwetsbaarheid.
De bug in Windows’ http.sys wordt namelijk al actief misbruikt voor DoS-aanvallen (denial of service). Een Belgische developer heeft ook exploitcode gevonden en die geanalyseerd. De mogelijkheid van remote code execution waar Microsoft voor waarschuwt, is hem nog niet geheel duidelijk. Het huidige probleem van deze nieuwe ping of death is echter al groot genoeg. De DoS-aanval op Windows’ http-component valt makkelijk uit te voeren, stelt het Amerikaanse security-orgaan SANS Internet Storm Center.
Alle Windows-versies en -varianten
Het SANS Institute waarschuwt beheerders dan ook dat snel patchen noodzaak is. Het te fixen component doet denken dat het gaat om een kwetsbaarheid die Microsofts webserver IIS (Internet Information Server) raakt. Systemen die geen webserver zijn, of die dat niet doen met Microsofts webserversoftware, lijken hierdoor niet geraakt door deze bug. De realiteit is echter anders.
Het kwetsbare http.sys zit namelijk diep in Windows zelf en doet ook dienst voor andere software dan IIS. Naast de geschatte zeventig miljoen websites die draaien op IIS zijn er dus meer doelwitten. Het te dichten gat zit zelfs niet alleen in de serverversies van Windows, maar ook in de diverse Windows-clients. Nagenoeg alle huidige ondersteunde versies van Windows in alle varianten zijn dus kwetsbaar: van 7, 8, 8.1 en RT, tot Server 2008 R2, 2012 en 2012 R2. Ironisch genoeg lijkt het binnenkort niet meer ondersteunde Windows Server 2003 niet geraakt.
Drieledige kwetsbaarheid
Bovendien brengt deze kwetsbaarheid in het http-kerncomponent van Microsofts besturingssystemen nog een derde gevaar. Naast de mogelijkheid van ‘remote code execution’ en het in de praktijk al voorkomende DoS-effect kan een speciaal geprepareerd http-verzoek ook leiden tot informatielekkage. De machine die op de korrel wordt genomen, kan data uit zijn geheugen retour sturen aan een aanvaller.
Deze informatielekkage kan optreden wanneer er een discrepantie is tussen de malicieus aangevraagde data en het daadwerkelijke bestand dat in reactie op het http-verzoek wordt verzonden. Onder bepaalde omstandigheden kan dan een deel van het kernelgeheugen naar buiten lekken. Die geheugenbrokken worden aangehecht aan de response die een systeem geeft, vlak voordat het onderuit gaat door het DoS-effect van de doelbewust verkeerde http.sys-aanroep.
Geen Heartbleed
Security-experts hebben hier niet direct consistente informatielekkage uit weten te halen, meldt de Britse ict-nieuwssite The Register. Een vergelijking met de ingrijpende Heartbleed-bug is dan ook niet van toepassing, zoals het er nu voor staat. Onderzoekers, te goeder én te kwader trouw, storten zich echter op de mogelijkheden. Beheerders van IIS-servers kunnen via die websoftware zelf controleren op de zwakke plek. SANS deelt het commando daarvoor in vraag 5 van zijn FAQ over deze ingrijpende kwetsbaarheid. Controle kan ook via een controlesite die is opgezet door een onafhankelijke webdeveloper, meldt de Amerikaanse technieuwssite InfoWorld. Van die controlesite is de source code openlijk beschikbaar.
Om te kunnen beoordelen moet u ingelogd zijn: