TCP-Lücke macht Reset-Attacken möglich

Das National Infrastructure Security Co-Ordination Centre (NISCC) warnt vor einer Lücke im TCP. Über Reset-Attacken kann ein Angreifer deutlich einfacher als bislang vermutet eine Verbindung lahmlegen.

Betroffen sind Transission Control Protokolle, die dem vorgegebenen Standard der Internet Engineering Task Force entsprechen. Die Möglichkeit, eine Verbindung über eine Reset-Attacke zu trennen, ist nicht neu. Das Problem ist vielmehr seit Jahren bekannt. Allerdings galt es als äußerst unwahrscheinlich, dass ein Angreifer die dafür nötige Sequenznummer (32 Bit) herausfindet, mit der die Pakete nummeriert sind. Zusätzlich muss das TCP-Paket mit der Reset-Anweisung (RST) über die gleiche IP-Adresse und den TCP-Port verfügen wie die zu unterbrechende Verbindung selbst. Letzteres zu fälschen gilt allerdings bekanntermaßen als machbar.

Sicherheitsexperte Paul Watson weist nun in senem Artikel "Slipping in the Window: TCP Reset Attacks", der bei der CanSecWest 2004 Security Conference in Vancouver vorgestellt wird, darauf hin, dass Sequenznummern in einem bestimmten Zahlenbereichsfenster akzeptiert werden. Einen Treffer im richtigen Bereich (Windows) zu landen, erhöht die Wahrscheinlichkeit einer erfolgreichen Attacke laut Watson enorm.

Um über Sicherheitslücken auf dem Laufenden zu bleiben, empfiehlt sich ein Blick in die Security Reports von tecCHANNEL. Den Service, der in Zusammenarbeit mit Secunia angeboten wird, können Sie auch als kostenlosen Newsletter abonnieren. (uba)