Het lek maakt het mogelijk voor aanvallers om systemen plat te leggen of te verstoren met weinig inspanning. Het fundamentele probleem is dat voor een aanval slechts weinig internetverkeer of rekenkracht van een computer nodig is. Een enkele machine kan tientallen zo niet honderden desktops, servers, routers en andere online apparaten verstoren en met succes een Denial-of-Service aanval uitvoeren.

Patch Tuesday

Dat er nu oplossingen zijn, is na de maandelijkse update cyclus van Microsoft wereldkundig gemaakt. Windows Vista en veel versies van Windows Server zijn kwetsbaar. Inmiddels hebben ook Cisco en CheckPoint verbeteringen doorgevoerd om de risico's tot een minimum te beperken. Ook de Nederlandse securitywaakhond Govcert heeft inmiddels een factsheet over de TCP-kwestbaarheid gepubliceerd.

Eigenlijk was het oorspronkelijke plan om vorige maand met een oplossing te komen, maar Microsoft liep nog tegen problemen aan. Uiteindelijk is besloten om de patch een maand later vrij te geven, omdat de aanpak de introductie van een nieuwe technologie betrof.

Nieuwe technologie

Microsoft introduceert een nieuwe technologie om de afhandeling van internetverkeer beter te beschermen. Het gaat om zogenaamde memory pressure protection dat aanvallen detecteert en vervolgens tot een minimum beperkt.

Ook netwerkleverancier Cisco heeft een routine aan het besturingssysteem toegevoegd om verkeerde verbindingen te beëindigen en op die manier aanvallen te stoppen. Voor veel netwerkapparatuur dreigde geheugenproblemen wanneer een aanval op de juiste manier worden uitgevoerd.

“Beide bedrijven hebben hard en constructief gewerkt aan een oplossing”, vertelt Robert E. Lee van Outpost 24, die bij het onderzoek naar Sockstress betrokken was. “Dit is een grote stap in de goede richting.”

Geen complete oplossing

Toch vreest hij dat er geen totale oplossing voor het probleem kan worden geboden. Dat ligt er volgens hem aan dat de aanval niet een enkel lek betreft, maar de methodiek het mogelijk maakt op verschillende manieren aanvallen uit te voeren.

Desgevraagd geeft hij toe dat er ook platformen nog niet aan een oplossing werken of die niet geïntroduceerd hebben. Zo blijkt leverancier RedHat te adviseren het aantal verbindingen binnen een bepaalde periode te beperken, omdat “er upstream besloten is geen patch uit te brengen”. Daarmee verwijst het bedrijf naar de makers van de Linux-kernel.

Lee is daar niet content mee. “Die oplossing werkt prima voor iemand die met SSH (een niet-grafische beheerstool – red.) naar een eigen server gaat, maar probeer het eens met je website”, verzucht hij. “Met een gemiddelde sessie overschrijdt je de beperkingen met gemak.”

Veel kwetsbaar

Lee erkent dat er een grote reeks kwetsbare partijen overblijft naast de Linux-platformen, zoals Apple, maar wil die uit angst voor de technische gevolgen niet noemen. “We blijven ze proberen te overtuigen”, zegt hij. Ook wil hij niet ingaan op de bewering dat Juniper en Clavister niet voor het lek gevoelig zouden zijn.

Ontdekker overleden

Sockstress werd in 2005 door Jack C. Louis ontdekt tijdens zijn werk aan zijn netwerkscantool Unicornscan. Nadat hij stilletjes probeerde het probleem op de kaart te zetten bij de leveranciers besloot Outpost 24 de media te zoeken. Zij gunden het nieuws aan Webwereld. In de podcast De Beveiligingsupdate legden Louis en Lee het probleem uitvoerig uit. Op 15 maart van dit jaar kwam Louis bij een brand in zijn huis in Zweden om het leven.

Na de onthulling werd de ontdekking in twijfel getrokken, omdat hard bewijs niet beschikbaar was. Tijdens een conferentie in Finland oktober vorig jaar werd de aanval gedemonstreerd. Deze gecoördineerde patchronde maakt aan alle twijfels een einde.