DOS attack made easy

On vient de trouver une nouvelle vunérabilité dans Windows XP/2003 qui est, le moins qu’on puisse dire, extrêmement gênante. Elle semble se situer au niveau de la stack TCP/IP et pour l’exploiter c’est un véritable jeu d’enfant : il suffit d’envoyer un paquet mal formé (par le réseau, par exemple) vers un port ouvert de la machine cible avec le flag SYN activé (nouvelle connexion) et PortSource = PortDest et IPSource = IPDest.

Je viens personnellement de refaire l’expérience en envoyant le paquet mal formé depuis mon serveur Linux vers mon laptop Windows XP SP2. Résultat : le processus “System” a occupé 100% du CPU pendant 20 secondes à la suite d’un seul paquet reçu. Pendant cette période la réactivité de la machine était proche de zéro.

Je vois déjà plein de petits malins s’amuser à faire des attaques DOS avec cette technique. Seule solution pour se proteger : un firewall qui bloque les paquets mal formés.

Ah ouais, j’ai failli oublier : le chercheur qui a trouvé la faillé a contacté MS le 25/02 mais n’a pas reçu de réponse. Aucun patch dispo à ce jour. C’est d’autant plus génant que ce type d’attaque est connu depuis 8 ans déjà à croire l’article sur slashdot.

Sources :

Slashdot et Security Focus

[petit edit]
Pour dire qu’à priori des paquets de ce type ne seront pas routés à travers Internet parce que les 2 IP sont identiques. Ceci dit, le problème reste entier quand beaucoup de machines sont sur le même réseau.

Hooo, mais y’a de l’admin qui milite pour redevenir trouffion là, avec ce genre de réaction. Tsss… Le monsieur il prévient, gentiment et tout. Donc bon. Pas la peine de prendre la mouche à chaque fois qu’on balance sur MS… En plus je vois une application pratique de la chose en entreprise moi… :P"

Ben en fait non j’avais efface mon message mais en fait non. Comme je peux pas annuler un effacement je remet mon opinion, parceque je reste derriere ce que j’ai dit a 100%.

Je prend pas la mouche chaque fois qu’on balance sur MS, je prend la mouche chaque fois qu’on balance des trucs completement debiles qu’on fait passer pour un truc super grave a des gens qui manquent de background technique pour comprendre la gravite de la chose, evaluer le danger et se rendre compte de ce dont on parle exactement. Les gens qui connaissent le protocole IP se rendent compte a la 3eme ligne avec ipsource=ipdest que c’etait beaucoup de bruit pour rien (meme si le probleme merite d’etre connu et que je suis sur qu’il est utile que son auteur l’ai fait remarquer a MS). Mais personne est cense connaitre ce genre de truc si c’est pas ton metier et le foin fait autour de ce probleme et la presentation comme un risque de securite grave auquel il aurait fallu reagir dans la semaine, c’est du FUD de bas etage et effectivement ca m’enerve.

Ce genre d’attaque depasse meme pas un switch bien configure, en particulier en entreprise. Donc a la limite on peut faire chier le mec dans le cubique en face du sien sur le meme hub. Mais que fait la police… Il y a une raison pour laquelle, si ce que /. dit est vrai, ce truc est la depuis 8 ans ou plus. C’est completement inexploitable, ca ne met en peril aucune donnee, ca ne permet aucune escalation de privileges et c’est aussi utile que de voler le clavier de la station de son voisin qui est sur le meme hub que soi. Ca l’empeche de travailler, deni de service et tout pareil. Je rapelle aussi que pour fabriquer des paquets specialement bidouilles comme ca il faut etre admin sur la machine sur laquelle on se trouve, scnenario aussi fort improbable dans un reseau d’entreprise bien configure. De plus si on est admin sur une machine d’un workgroup ou pire d’un domaine, il y a 400 autres moyens de faire une attaque par deni de service sur une autre machine du meme sous reseau. Et ce meme si on est derriere un routeur interne, donc pire que cette attaque. Et si le SP2 ou n’importe quel firewal est present ca marche pas, pas une excuse pour le bug mais la securite c’est aussi plusieurs couches.

Alors oui c’est un bug, le systeme devrait pas passer a 100% de CPU pendant 20 secondes, oui c’est un de trop, oui il faut le corriger un de ces quatre mais c’est bien bas sur la liste de priorites et ca peut attendre la prochaine version de windows, ou meme celle d’apres etant donne que :

  1. c’est un cas qui ne presente aucun veritable risque de perte de donnee
  2. c’est un cas qui est inexploitable depuis le net ou meme depuis un reseau avec de nombreuses machiens ayant un switch allant avec
  3. c’est un cas qui ne se presente qu’avec des paquets specialements concu pour attaquer une machine sur le meme HUB que la machine lancant l’attaque
  4. avec le SP2 mis a jour et configure proprement c’est pas un probleme

Pris sur /. qui en caricaturant resume un peu le truc:


Look, if a Windows zealot took something like Fedora, turned on a bunch of services, turned off the firewall, and then griped because his box got hacked, Slashdotters everywhere would be screaming that this guy was a fool, that Linux security is great when it’s not sabotaged by an idiot at the keyboard. And they’d be right. But when an attack requires that a Windows user actively subvert the very security measures Microsoft’s put in place to protect him, everybody blames Microsoft. Nope, no bias to see here, citizens, please move along.

Presenter ca comme un truc grave, et que c’est un scandale que personne ne reagisse a ce genre de failles c’est laid. C’est laid parceque a discrediter la reaction a ces failles debiles qu’on fait passer pour des failles serieuses on discredite la reaction aux failles critiques qui sont les vrais danger et qui meritent de prevenir tout le monde et de reagir. A noyer le signal interessant dans du bruit personne n’y gagne a part ceux qui ont un interet a balancer pour promouvoir autre chose. Meme en ayant une assez haute idee des connaissance reseau du posteur d’origine, en appliquant la maxime qui veut qu’on n’attribue jamais a la malice ce qu’on peut attribuer a la betise ou l’incompetence je fais de mon mieux pour pas porter de jugement sur les intentions du premier post. Mais j’ai des doutes sur le “prevenir gentiement”. Des gros.

Puis bon, ca rentre limite dans le sujet, mais c’est gentil de balancer les failles de chez Microsoft, mais si il y avait des analyses faites un peu plus en profondeur (comprendre par la des plaisantains de tout poils et surtout en nombres important) sur les autres OS, je crois que l’on rigolerai bien.

En attendant c’est une faille, ca ne vaut peut etre pas de faire un thread pour ca, ou bien si, dans un thread specialement dedie aux diverses vulnerabilites avec un lien vers le patch des que disponible.

:stuck_out_tongue:

Whatever. GloP, n°1 de la prod de txt chez MS. :stuck_out_tongue: Après faut pas s’étonner s’il manque des features dans Longhorn (mahaha je troll si je veux :P). Bon la mauvaise nouvelle c’est qu’on peut pas chauffer un peu l’ambiance au taf. Tant piiiiis.