Microsoft patcht DoS-gat in servers
Gepubliceerd: Vrijdag 30 december 2011
Auteur: Martin Bruining
Microsoft heeft een update vrijgegeven voor het beveiligingsgat waarmee IIS-webservers platgelegd kunnen worden.
Door het beveiligingsgat kan een kwaadwillende een webserver platleggen met één http-request van ongeveer 100 kilobyte. De webserver is dan voor ongeveer anderhalve minuut volledig bezet. Door meerdere van deze verzoeken na elkaar te sturen kan de server voor langere tijd worden platgelegd. Dit geldt ook voor machines met meerdere processors of met multicore-processors.
Microsoft heeft een security-bulletin uitgebracht voor het lek dat de softwareproducent als kritiek bestempeld. Het probleem zit in de IIS-webserver die standaard is meegeleverd in de serveredities van Windows.
Herkennen via taakbeheer
Volgens Microsoft is de aanval te herkennen via bijvoorbeeld het taakbeheer op de server. Een screenshot (zie hieronder) van Microsoft laat zien hoe een quadcore-webserver die door een enkel pakketje van 100 kb voor 25 procent is belast. Één core is dus volledig bezet.
Een workaround die Microsoft aandraagt is het instellen van een bovengrens voor te accepteren http-pakketten. Dit kan alleen als de webserver normaliter geen grote pakketten hoeft te ontvangen. Is dat bij normaal gebruik wel nodig, dan saboteert deze methode de normale werking, waarschuwt Microsoft.
Een screenshot dat Microsoft heeft vrijgegeven van het taakbeheer op een server die aangevallen wordt. Het gaat om een quadcore-webserver die door een enkel pakketje van 100 kb voor 25 procent is belast:
