A vulnerabilidade de negação de serviço típico para versões mais antigas do Windows ressurgiu no sistema operacional. A falha de segurança foi apelidado FragmentSmack (idêntico ao SegmentSmack em Linux) e foi dado o identificador CVE-2018-5391. Conforme explicado na Microsoft consultivo, “um invasor pode enviar muitos fragmentos de IP de 8 bytes com deslocamentos iniciais aleatórios, mas retenha o último fragmento e explore a complexidade de pior caso das listas vinculadas na remontagem de fragmentos de IP”.
Como resultado do DoS, o sistema de destino deixaria de responder com 100% utilização. Em outras palavras, a CPU atinge o nível máximo de utilização e deixa o sistema operacional sem resposta. Não obstante, o sistema seria capaz de se recuperar no momento em que o ataque terminasse.
Mais sobre FragmentSmack (CVE-2018-5391)
CVE-2018-5391 afeta todas as versões do Windows, a partir do Windows 7 para 10 (Incluindo 8.1 RT), Servidor 2008, 2012, 2016, bem como instalações principais que não aplicaram as atualizações de segurança lançadas em setembro 2018 patch Tuesday.
A falha recebeu o apelido de FragmentSmack porque responde à fragmentação de IP. Explicado resumidamente, A fragmentação de IP é um processo que quebra os pacotes em pedaços menores (fragmentos), para que as peças resultantes possam passar por um link com uma unidade de transmissão máxima menor (MTU) do que o tamanho do pacote original. Deve-se notar que os ataques de fragmentação de IP são uma forma comum de ataques DoS, onde o invasor domina uma rede explorando mecanismos de fragmentação de datagrama.
Quanto ao ataque FragmentSmack em particular, é um tipo de ataque de fragmentação TCP, também conhecido como ataque Teardrop. Este ataque é conhecido por visar mecanismos de remontagem TCP/IP, evitando que eles juntem pacotes de dados fragmentados. Como um resultado, os pacotes de dados se sobrepõem e sobrecarregam rapidamente os servidores da vítima, fazendo com que eles falhem, Encapsular pesquisadores explicar.
Deve-se notar também que esses ataques são devido a uma vulnerabilidade do Windows típica para versões mais antigas do sistema operacional, como o Windows 3.1, 95 e NT. Acreditava-se que esta brecha era fechada com remendos específicos. Contudo, uma vulnerabilidade reapareceu no Windows 7 e Windows Vista, e ataques Teardrop foram mais uma vez possíveis.
Como mitigar FragmentSmack (CVE-2018-5391)
Caso não seja possível aplicar os patches de segurança imediatamente, A Microsoft diz que os seguintes comandos devem ser usados para desabilitar a remontagem de pacotes:
Netsh int ipv4 set global reassemblylimit=0
Netsh int ipv6 set global reassemblylimit=0
De fato, a mesma vulnerabilidade foi relatada pela primeira vez na versão Linux Kernel 4.9+. Apelidado de SegmentSmack e rastreado como CVE-2018-5390, a vulnerabilidade pode levar a várias condições que permitem que criminosos modifiquem pacotes levando à coordenação de DoS (Negação de serviço) ataques.