Forums Últimos mensajes - Powered by IBM
 
Tags Palabras claves

[Vulnerable] XP SP2/W2003 a ataques LAND.

08/03/2005 - 19:13 por Diego | Informe spam
Ayuda Hacer una pregunta
***
Y atención hay un exploit circulando por internet para explotar la
vulnerabilidad, activar/instalar vuestros firewall inmediatamente sino
lo teneis activado todavia.

De momento no hay parche oficial
***


Vuln. XP SP2/W2003 (LAND)
http://www.nautopia.net/archives/es...3_land.php

Según reporta Dejan Levaja, tanto Windows XP SP2 como W2003 siguen
siendo vulnerables a ataques LAND. Este tipo de ataques no son nuevos
y se producen cuando la máquina víctima recibe paquetes SYN con la
misma IP de origen y destino, lo que provoca que empiece a generar
paquetes ACK tratando de responderse a sí misma en lo que podría ser
un bucle sin fin, con alto consumo de CPU y saturación, llegándose a
la denegación de servicio. Es algo que los reglajes internos de
algunos firewalls y routers evitan, filtrando los paquetes con la
misma dirección de origen y destino, pero en cualquier caso, aquí
queda el aviso.

Creative Commons License
This article is licensed under a Creative Commons License
Posted by wolffete at Marzo 8, 2005 02:51 PM




Microsoft Windows LAND Attack Denial of Service
http://secunia.com/advisories/14512/

Secunia Advisory: SA14512
Release Date: 2005-03-07

Critical: Less critical
Impact: DoS
Where: From remote
Solution Status: Unpatched

OS:
Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003 Web Edition
Microsoft Windows XP Home Edition
Microsoft Windows XP Professional

Select a product and view a complete list of all Patched/Unpatched
Secunia advisories affecting it.

Description:
Dejan Levaja has reported a vulnerability in Microsoft Windows,
allowing malicious people to cause a DoS (Denial of Service).

The vulnerability is caused due to improper handling of IP packets
with the same destination and source IP and the SYN flag set. This
causes a system to consume all available CPU resources for a certain
period of time.

This kind of attack was first reported in 1997 and became known as
LAND attacks.

Microsoft Windows XP with SP2 and Microsoft Windows 2003 have been
reported vulnerable.

Solution:
Filter traffic with the same IP address as source and destination
address at the perimeter.

Provided and/or discovered by:
Dejan Levaja




Hello, everyone.

Windows Server 2003 and XP SP2 (with Windows Firewall turned off) are
vulnerable to LAND attack.
http://www.securityfocus.com/archiv...05-03-08/0

LAND attack:
Sending TCP packet with SYN flag set, source and destination IP
address and source and destination port as of destination machine,
results in 15-30 seconds DoS condition.



Tools used:
IP Sorcery for creating malicious packet, Ethereal for sniffing it and
tcpreplay for replaying.

Results:
Sending single LAND packet to file server causes Windows explorer
freezing on all workstations currently connected to the server. CPU on
server goes 100%. Network monitor on the victim server sometimes can
not even sniff malicious packet. Using tcpreplay to script this attack
results in total collapse of the network.

Vulnerable operating systems:
Windows 2003
XP SP2
other OS not tested (I have other things to do currently ? like
checking firewalls
on my networks ;) )

Solution:
Use Windows Firewall on workstations, use some firewall capable of
detecting LAND attacks in front of your servers.

Ethic:
Microsoft was informed 7 days ago (25.02.2005, GMT +1, local time), NO
answer received, so I decided to share this info with security
community.


Dejan Levaja
System Engineer
Bulevar JNA 251
11000 Belgrade
Serbia and Montenegro
cell: +381.64.36.00.468
email: dejan levaja com
email Siga el debateRespuesta 28 respuestasRespuesta Tengo una respuesta

Preguntas similare

Leer las respuestas

#16 Marc [MVP Windows]
08/03/2005 - 20:48 | Informe spam
Y tal como pone la página (página que publiqué AYER) XP y W2K3 *no* son vulnerables si está activo el firewall.


Saludos

Marc
MCP - MVP Windows Shell/User
Oracle9i Certified Associate (OCA)
NOTA. Por favor, las preguntas y comentarios en los grupos, así nos beneficiamos todos.

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

"U.R.M." escribió en el mensaje news:45db01c52417$72ec1750$
Aparte de la clara postura y tendencia de la noticia por
estas paginas (nautopia y secunia), queda claro que la
vulnerabilidad existe y que aun no esta corregida por
microsoft, no como decia Alexito que ya estaba
solucionado desde windows NT.

URM

Serias? más bien no.
Digamoslo claro...lo único que hacen es recoger


información publicada en el
Foro de SecurityFocus por Dejan...

La vulnerabilidad del topic, que es multivendor, afecta


a muchos más OS'es
de los que esas páginas amarillas ponen...

http://www.securityfocus.com/bid/2666/info/

para quien quiera leer todos los detalles

Saludos
Ramon
PMP, ITIL Certified
MCSE & MCSA 2000/2003, CCA
"U.R.M." wrote in


message
news:45a601c52412$6ba5dad0$
Secunia y nautopia no lo son??

URM

¿qué "páginas" de seguridad?

Saludos
Ramon
PMP, ITIL Certified
MCSE & MCSA 2000/2003, CCA
"Un Usuario" wrote in message
news:
Alezito [MS MVP] you wrote:

Esto quedo corregido desde Windows NT 4.0 (SP4),






donde se modifico el
"Tcpip.sys".



Perdona Alezito,

Si esta corregido por qué las páginas de seguridad lo




dan como
vulnerable, algo no me cuadra en lo que dices...

Saludos.




.





.

Respuesta Responder a este mensaje
#17 Ramon Jiménez
08/03/2005 - 20:53 | Informe spam
queda claro que la vulnerabilidad existe y que aun no esta corregida por
microsoft




En eso estoy de acuerdo

En mi opinión, las páginas de seguridad "serias" deben/deberían ser
"vendor-agnostic", y no tener tendencias amarillistas como Secunia y
Nautopia. Pero es sólo mi humilde opinión

Saludos
Ramon

"U.R.M." wrote in message
news:45db01c52417$72ec1750$
Aparte de la clara postura y tendencia de la noticia por
estas paginas (nautopia y secunia), queda claro que la
vulnerabilidad existe y que aun no esta corregida por
microsoft, no como decia Alexito que ya estaba
solucionado desde windows NT.

URM

Serias? más bien no.
Digamoslo claro...lo único que hacen es recoger


información publicada en el
Foro de SecurityFocus por Dejan...

La vulnerabilidad del topic, que es multivendor, afecta


a muchos más OS'es
de los que esas páginas amarillas ponen...

http://www.securityfocus.com/bid/2666/info/

para quien quiera leer todos los detalles

Saludos
Ramon
PMP, ITIL Certified
MCSE & MCSA 2000/2003, CCA
"U.R.M." wrote in


message
news:45a601c52412$6ba5dad0$
Secunia y nautopia no lo son??

URM

¿qué "páginas" de seguridad?

Saludos
Ramon
PMP, ITIL Certified
MCSE & MCSA 2000/2003, CCA
"Un Usuario" wrote in message
news:
Alezito [MS MVP] you wrote:

Esto quedo corregido desde Windows NT 4.0 (SP4),






donde se modifico el
"Tcpip.sys".



Perdona Alezito,

Si esta corregido por qué las páginas de seguridad lo




dan como
vulnerable, algo no me cuadra en lo que dices...

Saludos.




.





.

Respuesta Responder a este mensaje
#18 fermu
08/03/2005 - 20:55 | Informe spam
Hash: SHA1

Ramon Jiménez wrote:


| En mi opinión, las páginas de seguridad "serias" deben/deberían ser
| "vendor-agnostic", y no tener tendencias amarillistas como Secunia y
| Nautopia. Pero es sólo mi humilde opinión


Secunia, yo no la considero amarallista... relata vulnerabilidades,
independientemente de quien sea el "vendor", ya sea red hat, suse,
freebsd, windows... y todas con el mismo grado de "amarillismo". (vamos
que no noto mucha diferencia en el estilo...)

Saludos
Fernando M. / Registered Linux User #367696
Respuesta Responder a este mensaje
#19 U.R.M.
08/03/2005 - 21:03 | Informe spam
Tienes razon, asi deberia ser.
Si te das cuenta, en la pagina de SecurityFocus no dicen
lo que comenta Marc, que con solo aplicar el firewall
queda controlado ese fallo. Lo que esta omision ocasiona
que lo tomen las demas paginas (amarillistas) como algo
aun sin control y de ahi su publicacion.

URM

queda claro que la vulnerabilidad existe y que aun no






esta corregida por
microsoft




En eso estoy de acuerdo

En mi opinión, las páginas de seguridad "serias"


deben/deberían ser
"vendor-agnostic", y no tener tendencias amarillistas


como Secunia y
Nautopia. Pero es sólo mi humilde opinión

Saludos
Ramon

"U.R.M." wrote in


message
news:45db01c52417$72ec1750$
Aparte de la clara postura y tendencia de la noticia por
estas paginas (nautopia y secunia), queda claro que la
vulnerabilidad existe y que aun no esta corregida por
microsoft, no como decia Alexito que ya estaba
solucionado desde windows NT.

URM

Serias? más bien no.
Digamoslo claro...lo único que hacen es recoger


información publicada en el
Foro de SecurityFocus por Dejan...

La vulnerabilidad del topic, que es multivendor, afecta


a muchos más OS'es
de los que esas páginas amarillas ponen...

http://www.securityfocus.com/bid/2666/info/

para quien quiera leer todos los detalles

Saludos
Ramon
PMP, ITIL Certified
MCSE & MCSA 2000/2003, CCA
"U.R.M." wrote in


message
news:45a601c52412$6ba5dad0$
Secunia y nautopia no lo son??

URM

¿qué "páginas" de seguridad?

Saludos
Ramon
PMP, ITIL Certified
MCSE & MCSA 2000/2003, CCA
"Un Usuario" wrote in message
news:
Alezito [MS MVP] you wrote:

Esto quedo corregido desde Windows NT 4.0 (SP4),






donde se modifico el
"Tcpip.sys".



Perdona Alezito,

Si esta corregido por qué las páginas de seguridad lo




dan como
vulnerable, algo no me cuadra en lo que dices...

Saludos.




.





.





.

Respuesta Responder a este mensaje
#20 Ramon Jiménez
08/03/2005 - 21:05 | Informe spam
Fernando,

Te doy la razón en parte... porque..

¿Dónde en Secunia se relata y/o describe esa misma vulnerabilidad para el
resto de OS'es afectados?

Creo que no trabajan muy seriamente, la verdad...

Saludos
Ramon
PMP, ITIL Certified
MCSE & MCSA 2000/2003, CCA
"fermu" wrote in message
news:e%
Hash: SHA1

Ramon Jiménez wrote:


| En mi opinión, las páginas de seguridad "serias" deben/deberían ser
| "vendor-agnostic", y no tener tendencias amarillistas como Secunia y
| Nautopia. Pero es sólo mi humilde opinión


Secunia, yo no la considero amarallista... relata vulnerabilidades,
independientemente de quien sea el "vendor", ya sea red hat, suse,
freebsd, windows... y todas con el mismo grado de "amarillismo". (vamos
que no noto mucha diferencia en el estilo...)

Saludos
Fernando M. / Registered Linux User #367696
Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente AnteriorRespuesta Tengo una respuesta
Search Busqueda sugerida