Từ chối dịch vụ (DoS) trong Microsoft ProxyServer, and Internet Security and Acceleration S

Chia sẻ: GfAFAD EYTRY | Ngày: | Loại File: PDF | Số trang:5

Thêm vào BST

Báo xấu

72
lượt xem 9
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Từ chối dịch vụ (DoS) trong Microsoft ProxyServer, and Internet Security and Acceleration S: Ngày 9 tháng 4 năm 2003 I. BỐI CẢNH Của Microsoft Internet Security và Acceleration Server (ISA) Server tích hợp một, mở rộng nhiều lớp tường lửa và một doanh nghiệp khả năng mở rộng hiệu suất cao web cache.

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Từ chối dịch vụ (DoS) trong Microsoft ProxyServer, and Internet Security and Acceleration S

Từ chối dịch vụ (DoS) trong Microsoft ProxyServer, and Internet Security and Acceleration S: Cố vấn an ninh iDefense 04.09.03: http://www.idefense.com/advisory/04.09.03.txt Từ chối dịch vụ trong Microsoft Proxy Server 2.0 và Internet Security và Acceleration Server 2000 Ngày 9 tháng 4 năm 2003 I. BỐI CẢNH Của Microsoft Internet Security và Acceleration Server (ISA) Server tích hợp một, mở rộng nhiều lớp tường lửa và một doanh nghiệp khả năng mở rộng hiệu suất cao web cache. Nó xây dựng trên Microsoft Windows 2000 an ninh và thư mục để tăng tốc dựa trên chính sách, an ninh và quản lý kết mạng. Xem thêm thông tin có sẵn tại http://www.microsoft.com/isaserver/. MS Proxy 2.0 là người tiền nhiệm đến ISA Server, nhiều thông tin có sẵn tại http://www.microsoft.com/isaserver/evaluation/previousversions/default.asp . II. Mô tả Một lỗ hổng tồn tại trong ISA Server và MS Proxy 2,0 cho phép kẻ tấn công gây ra một tình trạng từ chối-of-dịch vụ bằng cách giả mạo một đặc biệt crafted gói tin đến hệ thống đích. Một tác động của dễ bị tổn thương là khả năng của một kẻ tấn công từ xa để tạo ra một gói vô hạn cơn bão giữa hai hệ thống chưa được vá thực hiện ISA Server hoặc MS Proxy 2,0 trên Internet.
Cả hai ISA Server và MS Proxy 2.0, theo mặc định, cài đặt một Proxy WinSock (WSP) wspsrv.exe dịch vụ, thiết kế cho mục đích thử nghiệm và chẩn đoán. Các dịch vụ WSP tạo ra một UDP socket gắn với cảng 1745. Một gói thiết kế đặc biệt có thể gây ra WSP để tạo ra một liên tục lũ các yêu cầu và yêu cầu trả lời. III. PHÂN TÍCH Trong trường hợp kịch bản tấn công cho một kẻ tấn công mạng LAN nội bộ gây ra một từ chối dịch vụ, gói tin này bị thay đổi phải đáp ứng những điều sau đây các tiêu chí: * Các IP nguồn và đích cũng giống như ISA Server. * Các cổng nguồn và đích đến là 1745. * Các trường dữ liệu được thiết kế đặc biệt và giống với các yêu cầu định dạng. Một kẻ tấn công có thể truy cập vào mạng LAN nặc danh có thể tạo ra một đặc biệt crafted gói UDP sẽ gây ra các mục tiêu ISA Server để rơi vào một vòng lặp liên tục yêu cầu chế biến và các gói tin trả lời. Điều này sẽ nguyên nhân ISA Server để tiêu thụ 100 phần trăm CPU của hệ thống cơ bản cách sử dụng. Nó sẽ tiếp tục làm như vậy cho đến khi khởi động lại hệ thống hoặc WinSock Proxy (WSP) dịch vụ khởi động lại. Trong trường hợp kịch bản tấn công của kẻ tấn công từ xa gây ra một gói cơn bão giữa hai hệ thống chạy ISA Server hoặc MS Proxy 2.0, gói tin bị thay đổi phải đáp ứng các tiêu chuẩn sau đây: * Các IP nguồn là một trong những mục tiêu * Các IP đích là mục tiêu khác * Các cổng nguồn và đích đến là 1745. * Các trường dữ liệu được thiết kế đặc biệt và giống với các yêu cầu
định dạng. IV. PHÁT HIỆN iDefense đã xác nhận rằng Microsoft ISA Server 2000 và MS Proxy 2,0 là cả hai dễ bị tổn thương với đặc điểm gói tin bị thay đổi cùng một mô tả ở trên. Wspsrv.exe được kích hoạt mặc định trong Proxy Server 2.0. Việc Microsoft máy chủ Firewall được kích hoạt mặc định trong chế độ tường lửa ISA Server và ISA Server tích hợp chế độ cài đặt. Nó đang bị tắt trong ISA Server bộ nhớ cache chế độ cài đặt. V. Quay lại đầu Để ngăn ngừa các kịch bản tấn công thứ hai, áp dụng thâm nhập lọc trên Internet router trên UDP cổng 1745 để ngăn chặn một gói tin bị thay đổi từ đạt ISA Server và gây ra một cơn bão gói. VI. RECOVERY Khởi động lại hoặc là WinSock Proxy dịch vụ hoặc hệ thống bị ảnh hưởng tiếp tục hoạt động bình thường. VII. VENDOR FIX / phản ứng Microsoft đã cung cấp bản sửa lỗi cho Proxy Server 2.0 và ISA Server tại http://www.microsoft.com/technet/security/bulletin/MS03-012.asp. VIII. Thông tin CVE Các Mitre Corp 's tổn thương thường gặp và ro Exposures (CVE) Dự án có được giao mã số CAN-2003-0110 đến vấn đề này.
IX. CÔNG BỐ TIMELINE 2003/01/23 Vấn đề tiết lộ cho iDefense 2003/02/24 security@microsoft.com liên lạc 2003/02/24 đáp ứng từ Iain Mulholland, MSRC 2003/02/25 iDefense thông báo khách hàng 2003/03/03 Tình trạng yêu cầu của iDefense 2003/03/11 Tình trạng yêu cầu của iDefense 2003/03/11 đáp ứng từ Iain Mulholland, MSRC 2003/03/13 Tình trạng yêu cầu của iDefense 2003/03/18 Tình trạng yêu cầu của iDefense 2003/03/18 đáp ứng từ Iain Mulholland, MSRC 2003/03/24 Tình trạng yêu cầu của iDefense 2003/03/25 đáp ứng từ Iain Mulholland, MSRC 2003/04/09 công bố Được trả tiền cho nghiên cứu bảo mật http://www.idefense.com/contributor.html Đăng ky iDefense Tư vấn: gửi email đến listserv@idefense.com, dòng chủ đề: "đăng ký" Giới iDefense: iDefense là một công ty an ninh tình báo toàn cầu chủ động giám sát nguồn trên khắp thế giới - từ kỹ thuật lỗ hổng và hacker hồ sơ để sự lây lan toàn cầu của virus và mã độc hại khác. an ninh tình báo của chúng tôi cung cấp ra quyết định, tiền tuyến chuyên gia bảo mật và mạng quản trị viên có quyền truy cập kịp thời thông tin tình báo hành động và quyết định hỗ trợ về các mối đe dọa liên quan đến không gian mạng. Để biết thêm thông tin, thăm http://www.idefense.com/.