Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

×

Help jij Tweakers Website van het Jaar te worden?

Tweakers is genomineerd voor beste website 2014 in de categorieŰn Nieuws & Informatie, Community en Vergelijking. Stem nu en maak kans op mooie prijzen!

Door , , reacties: 16, views: 10.825 •

Door een gemanipuleerd ipv6-pakket te versturen naar iemand die Kaspersky Internet Security 2013 of een ander pakket met de Kaspersky-firewall heeft ge´nstalleerd, kan een kwaadwillende het systeem laten crashen. Dat heeft een Duitse beveiligingsonderzoeker ontdekt.

Misbruik van de bug is relatief eenvoudig, schrijft onderzoeker Marc Heuse op de Full Disclosure-mailinglijst. Met behulp van een speciale toolkit voor Linux kunnen de gemanipuleerde ipv6-pakketten naar een host worden gestuurd. Beschikt deze over Internet Security 2013 of vergelijkbare Kaspersky-software met een firewall, dan bevriest de computer. Na een reboot functioneert het systeem weer.

Voor de aanval wordt gebruikgemaakt van gefragmenteerde ipv6-pakketten met verschillende extension headers, waarvan er een over een grote hoeveelheid tekens beschikt. De aanval is alleen op te zetten als een gebruiker via ipv6 kan worden benaderd. Dat is op lokale netwerken altijd het geval, mits een gebruiker ipv6 heeft aanstaan. Op Windows is dat sinds Vista standaard het geval.

Heuse zegt dat hij Kaspersky op 21 januari en op 14 februari op de hoogte heeft gesteld, maar geen reactie heeft gehad. Daarom heeft hij zijn bevindingen nu openbaar gemaakt. Hij adviseert gebruikers om Kaspersky-software tijdelijk te deïnstalleren, totdat het probleem is opgelost, of om het ndis-filter van Kaspersky uit te schakelen.

In een reactie tegenover een verslaggever van IDG meldt Kaspersky dat het probleem bekend is en dat het binnenkort met een automatische update wordt verholpen. Wie nu al een patch wil, kan deze opvragen bij Kaspersky. Het bedrijf benadrukt dat het niet mogelijk is om misbruik te maken van getroffen computers, anders dan het laten crashen ervan. Waarom Kaspersky geen antwoord heeft gegeven op de meldingen van Heuse, blijft onduidelijk.

Reacties (16)

Wat een tijden waren dat als puberende script kiddie.
IRC kanaal joinen, /who lijst meenemen naar nuke tool.
Nuken en kijken hoe ze allemaal verbinding verloren.
*gniffel* }>
Nou yottum, Wat een lol moet dat geweest zijn :O
Ik had verwacht dat een anti-virus partij als Kaspersky beter om zou gaan met "responsible disclosure" dan dit: Meer dan een maand je hullen in stilte is tegenwoordig not done.
Dat niet alleen, het wordt ook gedownplayed (wat mij niet wenselijk lijkt bij een product dat juist gefocust is op security):

"Het bedrijf benadrukt dat het niet mogelijk is om misbruik te maken van getroffen computers, anders dan het crashen ervan."

Alhoewel men hier in principe gelijk in heeft, biedt deze bug wel degelijk mogelijkheden tot misbruik.
Bijvoorbeeld: stel, je hebt een vmware vcenter-omgeving waar je gebruikers (beheerders) tegen active directory authenticeert.
Zorg dat je een lokaal beheerdersaccount hebt op de vcenter server en haal alle active directory servers uit de lucht. vcenter gaat dan volgens mij een privilege reassignment doen waardoor alle lokale beheerders volledige rechten krijgen op de betreffende vmware omgeving.

Ver gezocht, maar niet ondenkbaar. In dat licht absoluut onbegrijpelijk dat ze niet eerder hebben gereageerd.
Vreemd dat Kaspersky niet gereageerd heeft naar Heuse, hij heeft ze de kans gegeven het probleem op te lossen voor het naar buiten te brengen (zoals het hoort). Kaspersky heeft dit bericht ontvangen en is gaan werken aan een oplossing echter zonder contact op te nemen met Heuse, en dit terwijl Kaspersky normaal de gene is die gebruikers vraagt mee te helpen in het zoeken naar data over virussen (Flame, etc) dan mag je toch iets meer verwachten van een melding van een bug in je Firewall...
Kaspersky verwijderen of ndis filter uitzetten omdat iemand op je locale netwerk (meestal beveiligde wifi) met een gefragementeerde ipv6 pakket je pc kan laten bevriezen...
Inderdaad, is een veiliger alternatief niet gewoon om IPv6 tijdelijk uit te schakelen op je netwerkadapter? (Werkt uiteraard alleen wanneer het netwerk ook nog gewoon op IPv4 draait)

[Reactie gewijzigd door Myedvyed op 8 maart 2013 10:33]

Ik zie nog geen betatest voor de geplande update. Dus ik vraag mij af hoe ver ze zijn met deze patch.
Klopt, op het forum is ook nog niks te vinden. Wanneer ze dit automatisch willen uitrollen doen ze dat altijd eerst via de test update servers. Ik krijg derhalve het vermoeden dat als je contact zoekt je een alpha versie krijgt, of nog niks omdat Kaspersky NL niet voorop loopt met het verkrijgen van updates, dat gaat altijd via Duitsland. Handig in dit soort gevallen is vaak via het Forum contact te leggen met de moderators/beheerders die je dan via PM nog wel eens in contact brengen met de ontwikkelaars }:O
Bij de meeste LAN netwerken is de gebruikte IP-protocol IP-4. En dan hoeft men niet bang voor die aanval te zijn.

Komt ook nog bij dat in de meeste routers ook een firewall zit, welke dergelijke aanvallen af kan weren.
1 besmet werkstation op je bedrijfsnetwerk en je kunt weldegelijk een probleem hebben hoor
De aanval is alleen op te zetten als een gebruiker via ipv6 kan worden benaderd. Dat is op lokale netwerken altijd het geval, mits een gebruiker ipv6 heeft aanstaan. Op Windows is dat sinds Vista standaard het geval.
Er is niks besmet, je kan alleen het systeem laten crashen door een aangepast ipv6 packet te sturen naar een host met kaspersky internet security. Je kan dit voorkomen door ipv6 uit te schakelen.
Ik doelde meer erop dat zodat 1 van de pc's op een netwerk besmet is met iets waardoor hij van buitenaf te besturen is (bv. onderdeel van botnet, virus, trojan horse, you name it), men ook machines met IPv6 kan laten crashen indien deze Kaspersky Internet Security gebruiken.

Wat daar het nut van is, tja .. ik zie het ook niet .. maar zeg niet dat een aanval op basis van deze bug door firewalls geblockt worden, want dat is dus niet perse zo (ligt er maar net aan hoe men toegang tot je netwerk verkrijgt)
Bij de meeste LAN netwerken is de gebruikte IP-protocol IP-4. En dan hoeft men niet bang voor die aanval te zijn.
Windows Vista, 7 en 8 gebruiken IPV6, dit staat ook standaard aan met een Link-Local ip adres. Hetzelfde geldt voor windows 2008. Het is dus wel een risico (al geef ik toe, klein voor huistuinkeuken gebruik).

[Reactie gewijzigd door useruser op 8 maart 2013 12:33]

en dan is het ergst dat kan gebeuren een crash, lijkt me wat minder erg dan een keylogger of zo, waarvan je het bestaan niet afweet.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Assassin's Creed UnityFIFA 15Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox OneAsus

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013