Windows touché par une énième variante de l’attaque Teardrop

Sécurité
fragmentsmack

Détourner la fragmentation des paquets IP pour causer un déni de service : c’est l’objet d’une faille corrigée dans le dernier Patch Tuesday.

Nom : FragmentStack. Matricule : CVE-2018-5391. Risque posé : déni de service.

Cette faille est au menu du Patch Tuesday de septembre 2018. Dans l’alerte qui lui est dédiée, Microsoft suggère une mesure de contournement : désactiver la reconstitution des paquets IP*.

FragmentStack affecte précisément cette opération qui intervient en dernier lieu dans le processus de segmentation IP.

Ledit processus consiste à découper des paquets pour les adapter aux capacités de réception (MTU, « maximum transmission unit ») de la station destinataire. Il est mis en œuvre notamment pour assurer le transfert de données entre des réseaux physiques différents.

La méthode présente plusieurs inconvénients, dont le fait que l’assemblage des paquets est entièrement dévolu au destinataire.

FragmentStack exploite ce goulet d’étranglement de manière à consommer toutes les ressources processeur, la machine ciblée finissant par planter. Il représente, en ce sens, une énième variante de l’attaque dite « Teardrop » et connue depuis des décennies.

Toutes les versions de Windows – client et serveur – encore prises en charge abritent la faille ; pas les VM Azure. Désactiver la reconstitution des paquets élimine la vulnérabilité, mais augmente le risque de perdre des données.

Linux aussi

FragmentSmack avait été rendu public au mois d’août, des suites d’une découverte d’un chercheur des Nokia Labs. L’intéressé avait constaté que la vulnérabilité, connue de longue date sous d’autres formes, était devenue exploitable sur Linux depuis la version 3.9 du noyau. Ce à cause de l’accroissement de la file de traitement des paquets IP.

Une autre faille avait été publiée en parallèle. Nommée SegmentSmack, elle ne se fonde sur l’injection de paquets TCP. Ses déclinaisons CVE-2018-5390 et CVE-2018-6922 touchent respectivement Linux (version 4.9 et ultérieures) et FreeBSD (à partir de la 10.4).

Des correctifs sont à disposition pour les principales distributions Linux, y compris Android. D’Akamai à Zyxel, de nombreux fournisseurs d’équipements et/ou de services de réseau, de stockage ou encore de sécurité ont eu à les déployer.

L’équipe Debian recommande, en cas d’impossibilité d’appliquer un patch, de paramétrer /proc/sys/net/ipv4 pour fixer à 192 et 256 ko les seuils minimal et maximal de la fragmentation IP.

* Avec les commandes Netsh int ipv4 set global reassemblylimit=0 et Netsh int ipv6 set global reassemblylimit=0

Crédit photo : ministère allemand de la Défense


Lire la biographie de l´auteur  Masquer la biographie de l´auteur