Eksperci ponaglają Microsoft i Juniper, żeby załatały niebezpieczna lukę

Eksperci zajmujący się bezpieczeństwem ostrzegają przed znaną od roku niebezpieczną luką związaną z IPv6, która pozwala na unieruchomienie każdego komputera w sieci, pracującego pod systemem Windows.

Eskperci zajmujący się bezpieczeństwem ponaglają firmy Microsoft i Juniper, aby załatały znaną już od roku lukę bezpieczeństwa związaną z protokołem IPv6, która może powodować zawieszenie dowolnego komputera pracującego pod systemem Windows.

Microsoft uznał, że ryzyko związane z tą luką jest niewielkie, ponieważ jej wykorzystanie wymaga fizycznego podłączenia do sieci LAN, zaś Juniper opóźnił udostępnienie łaty, twierdząc, że problem dotyczy niewielkiej liczby urządzeń tej firmy oraz, że usunięciem problemu powinna się zająć organizacja IETF.

Zobacz również:

  • Windows 11 otrzyma kompatybilność z widżetami firm trzecich
  • Microsoft wyłączył obsługę protokołu MSIX ms-appinstaller

Problem odkrył w lipcu 2010 r. niemiecki specjalista - Marc Heuse. Zauważył on, że produkty kilku firm (w tym ostatnie wersje Windows, routery Cisco, Linux, oraz Netscreen Junipera) są podatne na tą lukę.

Cisco zareagowało wydając łatę do swojego systemu w październiku 2010 r., załatane zostało także jądro systemu Linux. Microsoft oraz Juniper przyjęły do wiadomości informację o luce bezpieczeństwa, ale dotychczas nie udostępniły aktualizacji eliminującej ją.

Na czym polega problem?

Dziura związana jest z technologią znaną jako ogłoszenie routera (RA - router advertisement). Routery rozgłaszają swoje adresy IPv6, aby pomóc klientom w odnalezieniu i podłączeniu do podsieci IPv6. Atak DoS polega na zalewaniu segmentu sieci losowymi RA, co powoduje zajmowanie zasobów procesora aż do stanu, w którym pozostaje tylko restart. Heuse wyjaśnia: "W przypadku Windows ani osobista zapora, ani podobne produkty zabezpieczające - nie ochronią systemu przed takim atakiem, ponieważ domyślne reguły filtrowania przepuszczają takie typy pakietów".

Ponieważ Microsoft odmówił publikacji poprawki, Heuse opublikował swoje odkrycie 14 kwietnia na poświęconej bezpieczeństwu liście dyskusyjnej Full Disclosure. Zaznaczył tam, że firma nie zamierza nawet wystosować ostrzeżenia o tym zagrożeniu do użytkowników. Również inni eksperci (zarówno od sieci, jak i związani z bezpieczeństwem) zalecają załatanie tej luki. Wiadomo z pewnych źródeł, że nawet niektórzy pracownicy koncernu z Redmond przekonywali władze do podjęcia działań.

Sama firma ma w tej sprawie niewiele do zakomunikowania. W odpowiedzi na pytanie NetworkWorlda koncern oświadczył: "Firma Microsoft jest świadoma dyskusji toczących się w społeczności zajmującej się bezpieczeństwem, dotyczących techniki, w wyniku której serwer bądź stacja robocza pracująca pod systemem Windows może samoistnie zostać poddana wysokiemu obciążeniu zasobów, w wyniku rozsyłania przez atakującego spreparowanych ogłoszeń routera IPv6. Opisana metoda ataku wymaga, by ewentualny atakujący był fizycznie podłączony do lokalnej sieci będącej obiektem ataku - co oznacza sytuację, w której nie zakreślono granic bezpieczeństwa."

Eksperci protestują

Tłumaczenia koncernu nie przekonują ekspertów. Zdaniem Heuse, "luka jest bardzo prosta do załatania", a Microsoft w swojej historii wielokrotnie opracowywał rozwiązania dla mniej istotnych luk, pozwalających na ataki DoS w sieci LAN. Specjalista wskazuje, ze w 2008 roku firma rozwiązała podobny problem związany ze swoją implementacją protokołu IPv4. Co więcej, Microsoft planuje załatać inna lukę zgłoszoną ostatnio, która została przezeń opisana jako "bardzo mało istotny problem związany z detekcją sniffingu", co także występuje tylko w LAN.

Niektórzy eksperci są na tyle przejęci brakiem zainteresowania firmy rozwiązaniem problemu, że sami ostrzegają użytkowników. Niedawno w tej sprawie zabrał głos Ed Horley MVP na konferencji Rocky Mountain IPv6 Summit mówiąc, że wystarczy 5 do 20 pakietów by "ugotować" każdą maszynę w sieci LAN pracującą pod systemem Windows 7 bądź 2008 Server.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200