Kwaadwillenden kunnen met één enkel http-request van zo'n 100 kb (kilobyte) een processor volledig bezetten voor ongeveer anderhalve minuut. Het afvuren van een stroom van dergelijke malafide pakketten kan een hele webserver overbelasten. Dit geldt ook voor machines met meerdere processors of met multicore-processors.

DoS-tools in aantocht

Zelfs webservers die op een combinatie (cluster) van servers draaien, zijn hiermee onderuit te halen, waarschuwt Microsoft. Terwijl dit gat op dit moment nog niet wordt misbruikt, gaat dat volgens de softwareproducent wel gauw gebeuren. “We verwachten op zeer korte termijn de publieke release van exploitcode [voor dit gat - red.]", schrijft Microsoft in het uitgebreide informatiebulletin hierover.

Verder brengt Microsoft vandaag een noodpatch uit voor Windows. Deze update geldt voor alle huidige Windows-versies en dicht een niet bekend gemaakt kritiek beveiligingsgat.

Het DoS-gat in de webserver die wordt meegeleverd op Windows Server wordt niet gedicht met deze Windows-noodpatch. Webwereld heeft dat per abuis eerst wel zo gemeld. Het ontdekte DoS-gat zit in de onderliggende ASP.net-software van Microsoft. De leverancier merkt op dat de kwetsbaarheid aanwezig is in zowel de standaard configuratie van IIS als het merendeel van alle ASP.net-websites wereldwijd.

Afweer

Verder brengt Microsoft een detectiemiddel uit voor netwerkbescherming dat de malafide http-requests waarneemt en onderschept. Deze afweer wordt ook gedeeld met de securityleveranciers die zijn aangesloten bij Microsofts beveiligingsalliantie MAPP. De eigen Forefront-securitysoftware van de Windows-producent krijgt deze detectie in een update die ook vandaag uitkomt.

Beheerders kunnen op hun webservers ook een eigen tegenmaatregel doorvoeren. Het instellen van een bovengrens voor te accepteren http-pakketten moet misbruik ook voorkomen. Dit kan alleen als de webserver normaliter geen grote pakketten hoeft te ontvangen. Is dat bij normaal gebruik wel nodig, dan saboteert deze workaround de normale werking, waarschuwt Microsoft nog.

Microsoft showt een quadcore-webserver die door een enkel pakketje van 100 kb voor 25 procent is belast. Één core is dus volledig bezet: Klik voor groot Update:

Gecorrigeerd dat de noodpatch die Microsoft vandaag uitbrengt voor Windows is en niet specifiek voor het DoS-gat in Windows' webserver IIS. Het is niet bekend of en wanneer er een patch komt voor die Microsoft-webserver.

Update2:

Na het verschijnen van de noodpatch is gebleken dat die toch wel degelijk voor het DoS-gat was waar webserver IIS mee kampt. Het eigenlijke gat zit namelijk in Microsofts .Net-platform, wat in alle Windows-versies zit, server én desktop. Overigens hebben ook webapplicaties op basis van andere programmeertalen dit beveiligingsgat, dat voortkomt uit een wiskundige zwakte.