woensdag 9 november 2011

Sysadmin aanbevelingen Patch tuesday November 2011 - Worm kansen

Microsoft heeft op patch Tuesday het lek MS11-083 – Critical gemeld: “Vulnerability in TCP/IP Could Allow Remote Code Execution”.

Momenteel zijn er geen meldingen van actief misbruik van dit lek. Maar omdat het Internet Storm Center deze vulnerabilty een exploit index van 2 heeft meegegeven is misbruik hiervan op korte termijn te verwachten. Daarbij heeft dit lek grote potentie een nieuwe ‘computerworm’ voort te brengen waarbij verspreiding van deze worm in snel tempo zal plaats vinden.

Hoewel Microsoft zelf verwacht niet binnen 30 dagen een goed functionerende exploit te zien is het aan te raden alle kritieke systemen op dit moment direct te updaten met KB2588516 en te herstarten.
Kritieke systemen zijn de systemen die mogelijk een toegangsbrug vormen met uw interne netwerk. Wanneer UDP verkeer op minimaal 1 gesloten poort is toegestaan is het systeem kwetsbaar. Het gaat hierbij om de nieuwere versies van Windows, te weten alle Vista en 2008 versies, zowel 32 als 64-bit systemen.

Het feit dat deze vulnerability, een groot aantal UDP pakketten nodig heeft en remote code executie toe laat, maakt het tot een gevaarlijk geheel. De remote code executie maakt het mogelijk een worm te creëren (Denk aan Conficker). En wanneer er een grote worm uitbraak zal plaats vinden zal deze extreem veel UDP pakketjes het internet op slingeren. Dit brengt -alle op internet aangesloten- systemen in gevaar door de kans op UDP flooding gevolgt door een Denial of Service. Tevens zou dit het internet als geheel in gevaar kunnen brengen door de mogelijk immense toename aan netwerk verkeer.

Ik raad iedereen aan bovenstaande patch zo snel mogelijk te installeren.
Hieronder de door Microsoft opgestelde Deployment Priority:

3 opmerkingen: