Bug in Kaspersky-firewall maakt systeemcrash mogelijk

Door een gemanipuleerd ipv6-pakket te versturen naar iemand die Kaspersky Internet Security 2013 of een ander pakket met de Kaspersky-firewall heeft geïnstalleerd, kan een kwaadwillende het systeem laten crashen. Dat heeft een Duitse beveiligingsonderzoeker ontdekt.

Misbruik van de bug is relatief eenvoudig, schrijft onderzoeker Marc Heuse op de Full Disclosure-mailinglijst. Met behulp van een speciale toolkit voor Linux kunnen de gemanipuleerde ipv6-pakketten naar een host worden gestuurd. Beschikt deze over Internet Security 2013 of vergelijkbare Kaspersky-software met een firewall, dan bevriest de computer. Na een reboot functioneert het systeem weer.

Voor de aanval wordt gebruikgemaakt van gefragmenteerde ipv6-pakketten met verschillende extension headers, waarvan er een over een grote hoeveelheid tekens beschikt. De aanval is alleen op te zetten als een gebruiker via ipv6 kan worden benaderd. Dat is op lokale netwerken altijd het geval, mits een gebruiker ipv6 heeft aanstaan. Op Windows is dat sinds Vista standaard het geval.

Heuse zegt dat hij Kaspersky op 21 januari en op 14 februari op de hoogte heeft gesteld, maar geen reactie heeft gehad. Daarom heeft hij zijn bevindingen nu openbaar gemaakt. Hij adviseert gebruikers om Kaspersky-software tijdelijk te deïnstalleren, totdat het probleem is opgelost, of om het ndis-filter van Kaspersky uit te schakelen.

In een reactie tegenover een verslaggever van IDG meldt Kaspersky dat het probleem bekend is en dat het binnenkort met een automatische update wordt verholpen. Wie nu al een patch wil, kan deze opvragen bij Kaspersky. Het bedrijf benadrukt dat het niet mogelijk is om misbruik te maken van getroffen computers, anders dan het laten crashen ervan. Waarom Kaspersky geen antwoord heeft gegeven op de meldingen van Heuse, blijft onduidelijk.

Reacties (16)

useruser 8 maart 2013 09:58

Haha, de Ping of Death leeft weer

GekkeR @useruser • 8 maart 2013 11:36

Wat een tijden waren dat als puberende script kiddie.
IRC kanaal joinen, /who lijst meenemen naar nuke tool.
Nuken en kijken hoe ze allemaal verbinding verloren.
*gniffel*

Floor @GekkeR • 8 maart 2013 11:57

Nou yottum, Wat een lol moet dat geweest zijn

Bloodshot 8 maart 2013 10:06

Ik had verwacht dat een anti-virus partij als Kaspersky beter om zou gaan met "responsible disclosure" dan dit: Meer dan een maand je hullen in stilte is tegenwoordig not done.

Bram® @Bloodshot • 8 maart 2013 16:11

Dat niet alleen, het wordt ook gedownplayed (wat mij niet wenselijk lijkt bij een product dat juist gefocust is op security):

"Het bedrijf benadrukt dat het niet mogelijk is om misbruik te maken van getroffen computers, anders dan het crashen ervan."

Alhoewel men hier in principe gelijk in heeft, biedt deze bug wel degelijk mogelijkheden tot misbruik.
Bijvoorbeeld: stel, je hebt een vmware vcenter-omgeving waar je gebruikers (beheerders) tegen active directory authenticeert.
Zorg dat je een lokaal beheerdersaccount hebt op de vcenter server en haal alle active directory servers uit de lucht. vcenter gaat dan volgens mij een privilege reassignment doen waardoor alle lokale beheerders volledige rechten krijgen op de betreffende vmware omgeving.

Ver gezocht, maar niet ondenkbaar. In dat licht absoluut onbegrijpelijk dat ze niet eerder hebben gereageerd.

Verwijderd 8 maart 2013 10:28

Kaspersky verwijderen of ndis filter uitzetten omdat iemand op je locale netwerk (meestal beveiligde wifi) met een gefragementeerde ipv6 pakket je pc kan laten bevriezen...

Myedvyed @Verwijderd • 8 maart 2013 10:32

Inderdaad, is een veiliger alternatief niet gewoon om IPv6 tijdelijk uit te schakelen op je netwerkadapter? (Werkt uiteraard alleen wanneer het netwerk ook nog gewoon op IPv4 draait)

[Reactie gewijzigd door Myedvyed op 25 juli 2024 07:04]

Mils 8 maart 2013 10:39

Ik zie nog geen betatest voor de geplande update. Dus ik vraag mij af hoe ver ze zijn met deze patch.

4Reload @Mils • 8 maart 2013 15:04

Klopt, op het forum is ook nog niks te vinden. Wanneer ze dit automatisch willen uitrollen doen ze dat altijd eerst via de test update servers. Ik krijg derhalve het vermoeden dat als je contact zoekt je een alpha versie krijgt, of nog niks omdat Kaspersky NL niet voorop loopt met het verkrijgen van updates, dat gaat altijd via Duitsland. Handig in dit soort gevallen is vaak via het Forum contact te leggen met de moderators/beheerders die je dan via PM nog wel eens in contact brengen met de ontwikkelaars

4Reload 8 maart 2013 10:06

Vreemd dat Kaspersky niet gereageerd heeft naar Heuse, hij heeft ze de kans gegeven het probleem op te lossen voor het naar buiten te brengen (zoals het hoort). Kaspersky heeft dit bericht ontvangen en is gaan werken aan een oplossing echter zonder contact op te nemen met Heuse, en dit terwijl Kaspersky normaal de gene is die gebruikers vraagt mee te helpen in het zoeken naar data over virussen (Flame, etc) dan mag je toch iets meer verwachten van een melding van een bug in je Firewall...

bbcs 8 maart 2013 10:51

Bij de meeste LAN netwerken is de gebruikte IP-protocol IP-4. En dan hoeft men niet bang voor die aanval te zijn.

Komt ook nog bij dat in de meeste routers ook een firewall zit, welke dergelijke aanvallen af kan weren.

Yucko @bbcs • 8 maart 2013 11:06

1 besmet werkstation op je bedrijfsnetwerk en je kunt weldegelijk een probleem hebben hoor

De aanval is alleen op te zetten als een gebruiker via ipv6 kan worden benaderd. Dat is op lokale netwerken altijd het geval, mits een gebruiker ipv6 heeft aanstaan. Op Windows is dat sinds Vista standaard het geval.

Hasselprof @Yucko • 8 maart 2013 11:30

Er is niks besmet, je kan alleen het systeem laten crashen door een aangepast ipv6 packet te sturen naar een host met kaspersky internet security. Je kan dit voorkomen door ipv6 uit te schakelen.

Yucko @Hasselprof • 11 maart 2013 18:12

Ik doelde meer erop dat zodat 1 van de pc's op een netwerk besmet is met iets waardoor hij van buitenaf te besturen is (bv. onderdeel van botnet, virus, trojan horse, you name it), men ook machines met IPv6 kan laten crashen indien deze Kaspersky Internet Security gebruiken.

Wat daar het nut van is, tja .. ik zie het ook niet .. maar zeg niet dat een aanval op basis van deze bug door firewalls geblockt worden, want dat is dus niet perse zo (ligt er maar net aan hoe men toegang tot je netwerk verkrijgt)

useruser @bbcs • 8 maart 2013 12:32

Bij de meeste LAN netwerken is de gebruikte IP-protocol IP-4. En dan hoeft men niet bang voor die aanval te zijn.

Windows Vista, 7 en 8 gebruiken IPV6, dit staat ook standaard aan met een Link-Local ip adres. Hetzelfde geldt voor windows 2008. Het is dus wel een risico (al geef ik toe, klein voor huistuinkeuken gebruik).

[Reactie gewijzigd door useruser op 25 juli 2024 07:04]

Jol65 @bbcs • 8 maart 2013 13:32

en dan is het ergst dat kan gebeuren een crash, lijkt me wat minder erg dan een keylogger of zo, waarvan je het bestaan niet afweet.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (16)

Sorteer op:

Weergave: