Từ chối dịch vụ (DoS) trong Microsoft ProxyServer, and Internet Security and Acceleration S

Từ chối dịch vụ (DoS) trong Microsoft ProxyServer, and Internet Security and Acceleration S:Ngày 9 tháng 4 năm 2003 I. BỐI CẢNH Của Microsoft Internet Security và Acceleration Server (ISA) Server tích hợp một, mở rộng nhiều lớp tường lửa và một doanh nghiệp khả năng mở rộng hiệu suất cao web cache.
Nội dung trích xuất từ tài liệu:
Từ chối dịch vụ (DoS) trong Microsoft ProxyServer, and Internet Security and Acceleration STừ chối dịch vụ (DoS) trong Microsoft ProxyServer, andInternet Security and Acceleration S:Cố vấn an ninh iDefense 04.09.03:http://www.idefense.com/advisory/04.09.03.txtTừ chối dịch vụ trong Microsoft Proxy Server 2.0 và Internet SecurityvàAcceleration Server 2000Ngày 9 tháng 4 năm 2003I. BỐI CẢNHCủa Microsoft Internet Security và Acceleration Server (ISA)Servertích hợp một, mở rộng nhiều lớp tường lửa và một doanh nghiệpkhả năng mở rộnghiệu suất cao web cache. Nó xây dựng trên Microsoft Windows 2000an ninhvà thư mục để tăng tốc dựa trên chính sách, an ninh và quản lýkết mạng. Xem thêm thông tin có sẵn tạihttp://www.microsoft.com/isaserver/. MS Proxy 2.0 là người tiền nhiệmđếnISA Server, nhiều thông tin có sẵn tạihttp://www.microsoft.com/isaserver/evaluation/previousversions/default.asp.II. Mô tảMột lỗ hổng tồn tại trong ISA Server và MS Proxy 2,0 cho phépkẻ tấn công gây ra một tình trạng từ chối-of-dịch vụ bằng cách giả mạo mộtđặc biệtcrafted gói tin đến hệ thống đích. Một tác động củadễ bị tổn thươnglà khả năng của một kẻ tấn công từ xa để tạo ra một gói vô hạncơn bão giữa hai hệ thống chưa được vá thực hiện ISA Server hoặc MSProxy2,0 trên Internet.Cả hai ISA Server và MS Proxy 2.0, theo mặc định, cài đặt một ProxyWinSock(WSP) wspsrv.exe dịch vụ, thiết kế cho mục đích thử nghiệm và chẩn đoán.Các dịch vụ WSP tạo ra một UDP socket gắn với cảng1745. Một gói thiết kế đặc biệt có thể gây ra WSP để tạo ra một liên tụclũ các yêu cầu và yêu cầu trả lời.III. PHÂN TÍCHTrong trường hợp kịch bản tấn công cho một kẻ tấn công mạng LAN nội bộgây ramộttừ chối dịch vụ, gói tin này bị thay đổi phải đáp ứng những điều sau đâycác tiêu chí:* Các IP nguồn và đích cũng giống như ISA Server.* Các cổng nguồn và đích đến là 1745.* Các trường dữ liệu được thiết kế đặc biệt và giống với các yêu cầuđịnh dạng.Một kẻ tấn công có thể truy cập vào mạng LAN nặc danh có thể tạo ra mộtđặc biệtcrafted gói UDP sẽ gây ra các mục tiêu ISA Server để rơi vào mộtvòng lặp liên tục yêu cầu chế biến và các gói tin trả lời. Điều này sẽnguyên nhânISA Server để tiêu thụ 100 phần trăm CPU của hệ thống cơ bảncách sử dụng. Nó sẽ tiếp tục làm như vậy cho đến khi khởi động lại hệ thốnghoặcWinSockProxy (WSP) dịch vụ khởi động lại.Trong trường hợp kịch bản tấn công của kẻ tấn công từ xa gây ra mộtgóicơn bão giữa hai hệ thống chạy ISA Server hoặc MS Proxy 2.0,gói tin bị thay đổi phải đáp ứng các tiêu chuẩn sau đây:* Các IP nguồn là một trong những mục tiêu* Các IP đích là mục tiêu khác* Các cổng nguồn và đích đến là 1745.* Các trường dữ liệu được thiết kế đặc biệt và giống với các yêu cầuđịnh dạng.IV. PHÁT HIỆNiDefense đã xác nhận rằng Microsoft ISA Server 2000 và MS Proxy 2,0làcả hai dễ bị tổn thương với đặc điểm gói tin bị thay đổi cùng một mô tảở trên.Wspsrv.exe được kích hoạt mặc định trong Proxy Server 2.0. Việc Microsoftmáy chủ Firewall được kích hoạt mặc định trong chế độ tường lửa ISAServer vàISAServer tích hợp chế độ cài đặt. Nó đang bị tắt trong ISA Serverbộ nhớ cachechế độ cài đặt.V. Quay lại đầuĐể ngăn ngừa các kịch bản tấn công thứ hai, áp dụng thâm nhập lọc trênInternet router trên UDP cổng 1745 để ngăn chặn một gói tin bị thay đổi từđạt ISA Server và gây ra một cơn bão gói.VI. RECOVERYKhởi động lại hoặc là WinSock Proxy dịch vụ hoặc hệ thống bị ảnh hưởngtiếp tụchoạt động bình thường.VII. VENDOR FIX / phản ứngMicrosoft đã cung cấp bản sửa lỗi cho Proxy Server 2.0 và ISA Server tạihttp://www.microsoft.com/technet/security/bulletin/MS03-012.asp.VIII. Thông tin CVECác Mitre Corp s tổn thương thường gặp và ro Exposures (CVE) Dự áncóđược giao mã số CAN-2003-0110 đến vấn đề này.IX. CÔNG BỐ TIMELINE2003/01/23 Vấn đề tiết lộ cho iDefense2003/02/24 security@microsoft.com liên lạc2003/02/24 đáp ứng từ Iain Mulholland, MSRC2003/02/25 iDefense thông báo khách hàng2003/03/03 Tình trạng yêu cầu của iDefense2003/03/11 Tình trạng yêu cầu của iDefense2003/03/11 đáp ứng từ Iain Mulholland, MSRC2003/03/13 Tình trạng yêu cầu của iDefense2003/03/18 Tình trạng yêu cầu của iDefense2003/03/18 đáp ứng từ Iain Mulholland, MSRC2003/03/24 Tình trạng yêu cầu của iDefense2003/03/25 đáp ứng từ Iain Mulholland, MSRC2003/04/09 công bốĐược trả tiền cho nghiên cứu bảo mậthttp://www.idefense.com/contributor.htmlĐăng ky iDefense Tư vấn:gửi email đến listserv@idefense.com, dòng chủ đề: đăng kýGiới iDefense:iDefense là một công ty an ninh tình báo toàn cầu chủ độnggiám sát nguồn trên khắp thế giới - từ kỹ thuậtlỗ hổng và hacker hồ sơ để sự lây lan toàn cầu của virusvà mã độc hại khác. an ninh tình báo của chúng tôi cung cấpra quyết định, tiền tuyến chuyên gia bảo mật và mạngquản trị viên có quyền truy cập kịp thời thông tin tình báo hành độngvà quyết định hỗ trợ về các mối đe dọa liên quan đến không gian mạn ...