Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Computable Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Nieuwsbrief
Hack

Windows valt voor nieuwe ping of death

23 april 2015 - 07:254 minuten leestijdAchtergrondSecurity & AwarenessMicrosoft
Jasper Bakker
Jasper Bakker

Een oude vorm van een DoS-aanval steekt weer de kop op, in een nieuw jasje. De zogeheten ping of death raakt Windows dankzij een fundamentele fout in een driver op kernel-niveau. Deze bug heeft meer impact.

Het afvuren van een speciaal geprepareerd http-verzoek kan een Windows-machine onderuit halen. Het gaat om een bug in de protocolstack voor webverkeer die in Windows draait op het diepe niveau van de systeemkernel. Microsoft heeft in zijn maandelijkse patchronde al een fix uitgebracht voor deze fout. Volgens de fabrikant kan succesvol misbruik zorgen voor het op afstand laten uitvoeren van code.
 

DoS-aanvalscode al ‘in the wild’

In het geval van moedwillig misbruik kan dat dan kwaadaardige code zijn van een aanvaller. Zo’n aanvaller heeft verder geen authenticatie op het doelsysteem nodig en diens code wordt dan ook nog eens uitgevoerd op het niveau van het diepe systeem-account. De rechten daarvan zijn veel groter dan die van gebruikers of zelfs van beheerders. In eerste instantie is er echter een ander probleem aan de orde door deze kwetsbaarheid.
De bug in Windows’ http.sys wordt namelijk al actief misbruikt voor DoS-aanvallen (denial of service). Een Belgische developer heeft ook exploitcode gevonden en die geanalyseerd. De mogelijkheid van remote code execution waar Microsoft voor waarschuwt, is hem nog niet geheel duidelijk. Het huidige probleem van deze nieuwe ping of death is echter al groot genoeg. De DoS-aanval op Windows’ http-component valt makkelijk uit te voeren, stelt het Amerikaanse security-orgaan SANS Internet Storm Center.

Alle Windows-versies en -varianten

Het SANS Institute waarschuwt beheerders dan ook dat snel patchen noodzaak is. Het te fixen component doet denken dat het gaat om een kwetsbaarheid die Microsofts webserver IIS (Internet Information Server) raakt. Systemen die geen webserver zijn, of die dat niet doen met Microsofts webserversoftware, lijken hierdoor niet geraakt door deze bug. De realiteit is echter anders.
Het kwetsbare http.sys zit namelijk diep in Windows zelf en doet ook dienst voor andere software dan IIS. Naast de geschatte zeventig miljoen websites die draaien op IIS zijn er dus meer doelwitten. Het te dichten gat zit zelfs niet alleen in de serverversies van Windows, maar ook in de diverse Windows-clients. Nagenoeg alle huidige ondersteunde versies van Windows in alle varianten zijn dus kwetsbaar: van 7, 8, 8.1 en RT, tot Server 2008 R2, 2012 en 2012 R2. Ironisch genoeg lijkt het binnenkort niet meer ondersteunde Windows Server 2003 niet geraakt.

Drieledige kwetsbaarheid

Bovendien brengt deze kwetsbaarheid in het http-kerncomponent van Microsofts besturingssystemen nog een derde gevaar. Naast de mogelijkheid van ‘remote code execution’ en het in de praktijk al voorkomende DoS-effect kan een speciaal geprepareerd http-verzoek ook leiden tot informatielekkage. De machine die op de korrel wordt genomen, kan data uit zijn geheugen retour sturen aan een aanvaller.
Deze informatielekkage kan optreden wanneer er een discrepantie is tussen de malicieus aangevraagde data en het daadwerkelijke bestand dat in reactie op het http-verzoek wordt verzonden. Onder bepaalde omstandigheden kan dan een deel van het kernelgeheugen naar buiten lekken. Die geheugenbrokken worden aangehecht aan de response die een systeem geeft, vlak voordat het onderuit gaat door het DoS-effect van de doelbewust verkeerde http.sys-aanroep.

Geen Heartbleed

Security-experts hebben hier niet direct consistente informatielekkage uit weten te halen, meldt de Britse ict-nieuwssite The Register. Een vergelijking met de ingrijpende Heartbleed-bug is dan ook niet van toepassing, zoals het er nu voor staat. Onderzoekers, te goeder én te kwader trouw, storten zich echter op de mogelijkheden. Beheerders van IIS-servers kunnen via die websoftware zelf controleren op de zwakke plek. SANS deelt het commando daarvoor in vraag 5 van zijn FAQ over deze ingrijpende kwetsbaarheid. Controle kan ook via een controlesite die is opgezet door een onafhankelijke webdeveloper, meldt de Amerikaanse technieuwssite InfoWorld. Van die controlesite is de source code openlijk beschikbaar.

Meer over

AuthenticatieBesturingssystemenPatches

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Staat van Digitale Connectiviteit binnen de Bouw- en Installatiebranche 2025

    Digitale connectiviteit is de kern van veel processen in de bouw en volgens insiders van strategisch belang voor de toekomst van de sector. Waar sta jij?

    Computable.nl

    GenAI: Veiligheidsrisico of wapen tegen dreiging?

    Wat AI betekent voor jouw securityaanpak? Alles over de risico’s en strategieën om GenAI verantwoord in te zetten.

    Computable.nl

    Bouw de AI-organisatie niet op los zand

    Wat is de afweging tussen zelf bouwen of het benutten van cloud?

    Meer lezen

    Computable.nl
    OpinieSecurity & Awareness

    5 stappen ter voorbereiding op de verkorte levensduur van TLS-certificaten

    ActueelCarrière

    Kort: Brunel viert 50ste verjaardag, Wortell wint gunning veiligheidsregio (en meer)

    ActueelSecurity & Awareness

    Vaarwel C++ en C: VS zetten in op memory safe-programmeertalen

    ActueelSecurity & Awareness

    Cybersec Netherlands trekt op met Data Expo

    Cloudsecurity
    ActueelSecurity & Awareness

    De zware uitdaging van cloudbeveiliging

    ActueelSecurity & Awareness

    Kort: PQR lijft E-Storage in, Fox-IT en Xerox it-partners van de Navo-top (en meer)

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Uitgelicht

    Partnerartikel
    AdvertorialInnovatie & Transformatie

    Computable Insights

    Een ai-agent die klantvragen afhandelt. Dat is een van de nieuwste troeven van softwareproducent Salesforce, dat daarmee meesurft op de...

    Meer persberichten

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Abonneren Magazine
    • Cybersec e-Magazine

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs