ICMP-Nachrichten erlauben Angriffe auf TCP/IP

Fernando Gont hat in seiner Abhandlung im Internet aufgezeigt, wie der Angriff funktioniert. ICMP sorgt für die Kommunikation zwischen netzwerkfähigen Geräten. So werden beispielsweise Fehlermeldungen oder Informationen zwischen den Netzwerkkomponenten weitergegeben. TCP muss dann reagieren. Das Problem liegt darin, dass keine weiteren Sicherheitsüberprüfungen erfolgen - dies wurde bei der Entwicklung von TCP schlicht als nicht notwendig angesehen. Weitere Hintergrundinformationen zu ICMP, TCP/IP und IPv6 bietet Ihnen unser Premium-Artikel "So funktionieren TCP/IP und IPv6".

Angreifer können nun präparierte Nachrichten nutzen, um einen Angriff auf die TCP/IP-Verbindungen zu starten. Dadurch ist es möglich, eine Verbindung zu unterbrechen, zurückzusetzen oder extrem zu verlangsamen. Cisco beschäftigt sich in einer Sicherheitsmeldung eingehender mit den drei Angriffswegen. Dabei handelt es sich um ICMP-"hard"-Fehlermeldungen, ICMP-"fragmentation needed and Don't Fragment (DF) bit set"-Nachrichten (auch bekannt als Path-MTU-Discovery-Attacken) und ICMP-"source quench"-Meldungen.

Das Problem wird bislang als "weniger kritisch" eingeschätzt. Die Hersteller arbeiten bereits an einem Patch, der das Problem beseitigt. So hat Microsoft beispielsweise am gestrigen Patch Day ein Update für die Lücke zur Verfügung gestellt. Die Updates der anderen Hersteller sollten demnächst folgen.

Um Sie ständig über die aktuellen Updates und weitere Sicherheitslücken auf dem Laufenden zu halten, bietet Ihnen tecCHANNEL in Kooperation mit Secunia die Security Reports an, diese sind auch als kostenloser Newsletter oder tägliche Zusammenfassung erhältlich. Premium-Kunden erhalten zudem die Option, sich bei hochkritischen Lücken per Security-Alert informieren zu lassen. (mja)