Het lek maakt het mogelijk voor aanvallers om systemen zonder veel inspanning plat te leggen of te verstoren. Het fundamentele probleem is dat er maar weinig weinig internetverkeer of rekenkracht van een computer nodig is voor een aanval. Een enkele machine kan tientallen zo niet honderden desktops, servers, routers en andere online apparaten verstoren en met succes een Denial-of-Service aanval uitvoeren.

Patch Tuesday

Dat er nu oplossingen zijn, is na de maandelijkse update cyclus van Microsoft wereldkundig gemaakt. Inmiddels hebben ook Cisco en CheckPoint verbeteringen doorgevoerd om de risico's tot een minimum te beperken. Ook de Nederlandse securitywaakhond Govcert heeft inmiddels een factsheet over de TCP-kwestbaarheid gepubliceerd.

Eigenlijk was het oorspronkelijke plan om vorige maand met een oplossing te komen, maar Microsoft liep nog tegen problemen aan. Uiteindelijk is besloten om de patch een maand later vrij te geven, omdat de aanpak de introductie van een nieuwe technologie betrof.

Nieuwe technologie

Microsoft introduceert een nieuwe technologie om de afhandeling van internetverkeer beter te beschermen. Het gaat om zogenaamde memory pressure protection, dat aanvallen detecteert en vervolgens tot een minimum beperkt.

Ook netwerkleverancier Cisco heeft een routine aan het besturingssysteem toegevoegd om verkeerde verbindingen te beëindigen en op die manier aanvallen te stoppen. Veel netwerkapparatuur liep het risico dat er geheugenproblemen ontstonden wanneer een aanval op de juiste manier werd uitgevoerd.

“Beide bedrijven hebben hard en constructief gewerkt aan een oplossing”, vertelt Robert E. Lee van Outpost 24, die bij het onderzoek naar Sockstress betrokken was. “Dit is een grote stap in de goede richting.”

Geen complete oplossing

Toch vreest hij dat er geen totale oplossing voor het probleem kan worden geboden. Het gaat hier volgens hem dan ook niet om een enkel lek, maar om een methodiek die het mogelijk maakt om op verschillende manieren aanvallen uit te voeren.

Desgevraagd geeft hij toe dat er ook platformen zijn waarbij nog niet aan een oplossing wordt gewerkt of waarbij die oplossing nog niet geïntroduceerd is. Zo blijkt leverancier RedHat te adviseren het aantal verbindingen binnen een bepaalde periode te beperken, omdat “er upstream besloten is geen patch uit te brengen”. Daarmee verwijst het bedrijf naar de makers van de Linux-kernel.

“Die oplossing werkt prima voor iemand die met SSH naar een eigen server gaat, maar probeer het eens met je website”, verzucht Lee. “Met een gemiddelde sessie overschrijd je de beperkingen met gemak.”

Nog steeds kwetsbaar

Lee erkent dat er een grote reeks kwetsbare partijen overblijft naast de Linux-platformen, maar wil die uit angst voor de technische gevolgen niet noemen. “We blijven proberen ze te overtuigen”, zegt hij. Ook wil hij niet ingaan op de bewering van Juniper en Clavister dat ze niet gevoelig zouden zijn voor het lek.

Sockstress werd in 2005 door Jack C. Louis ontdekt tijdens zijn werk aan zijn netwerkscantool Unicornscan. Nadat hij stilletjes probeerde het probleem op de kaart te zetten bij de leveranciers, besloot Outpost 24 de media te zoeken. In de podcast van De Beveiligingsupdate legden Louis en Lee het probleem uitvoerig uit. Op 15 maart van dit jaar kwam Louis bij een brand in zijn huis in Zweden om het leven.

Na de onthulling werd de ontdekking in twijfel getrokken, omdat hard bewijs niet beschikbaar was. Tijdens een conferentie in Finland oktober vorig jaar werd de aanval gedemonstreerd. En deze gecoördineerde patchronde maakt aan alle twijfels een einde. Bron: Techworld