среда, 9 ноября 2011 г.

MS11-083: Ждем новый Slammer?

(почти) Жуткая, жутка уязвимость в стеке.

Почему жуткая? По моему опыту, UDP фильтруется очень плохо. Например в сетях провайдеров ШПД зачастую режут "плохие" 135/445/137/139 по TCP и оставляют открытыми те же протоколы, которые прекрасно работаю и в ряде выпусков Windows включены по умолчанию и по UDP.
+ Скорость распространения, количество целей, спуфинг адреса...
Вспоминается SQL Slammer, который в свое время просаживал Интернет и корпоративные сетки до полной перегрузки каналов. А там был только MS SQL. А тут практически все.

Почему "почти". Экплойта  нет. пока.

http://www.securitylab.ru/vulnerability/409824.php
http://technet.microsoft.com/en-us/security/bulletin/ms11-083

5 комментариев:

Анонимный комментирует...

в ветке [Full-disclosure] Microsoft Windows vulnerability in TCP/IP Could Allow Remote Code Execution товарищ утверждает, что эксплоит существует.. правда утверждать много чего можно

Сr4sh комментирует...

Не будет никакого нового сламмера :)

Почитайте более подробное описание уязвимости: http://blogs.technet.com/b/srd/archive/2011/11/08/assessing-the-exploitability-of-ms11-083.aspx

Use-after-free в ядре -- это, пардон, ад пизды, с точки зрения сложности удалённой эксплуатации до remote code execution, даже в "тепличных" условиях.

Тот факт, что для обнуления счётчика и триггеринга этого самого use-after-free цели нужно послать 100500 UDP пакетов -- так же делает эксплуатацию ещё менее реальной на практике.

Sergey Gordeychik комментирует...

Ну и славно, что не будет. Отбой воздушной тревоги :)

Alexey Sintsov комментирует...

Это точно. Надо как-то заполнить память нужной структурой, что бы указатель прямо в неё попал! Причем после определенного пакета, в момент, когда указатель станет 0. Анриал. Даже ВинНюка не получится... скорее мой модем задымится, чем я переполню интегер УДП флудом... (могу ошибаться, так как не знаю нужное число пакетов, но имхо DWORD... а заначит много)

Анонимный комментирует...

Карманов в свойственной ему манере детально разжевал, почему сламмера не будет

http://karmanov.wordpress.com/2011/11/15/ms11-083/