Vigil@nce - IDS, IPS : Advanced Evasion Techniques
décembre 2010 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Vingt trois cas de techniques standards de variation de paquets ne
sont pas détectées par la majorité des IDS/IPS.
Gravité : 2/4
Date création : 17/12/2010
DESCRIPTION DE LA VULNÉRABILITÉ
Les IDS/IPS capturent les trames réseau, et analysent leurs
contenus, afin de détecter des tentatives d’intrusion. Les
attaquants font légèrement varier les paquets réseau, afin de
contourner les IDS/IPS. Vingt trois cas de techniques standards de
variation de paquets ne sont pas détectées par la majorité des
IDS/IPS. Ces 23 cas concernent les protocoles IPv4, TCP, SMB et
MSRPC. Ils sont basés sur des méthodes connues depuis 12 ans.
Stonesoft a nommé ces cas "Advanced Evasion Techniques". Ils ont
été annoncés dans VIGILANCE-ACTU-2612.
Un attaquant peut envoyer un paquet SMB Write avec une valeur
"writemode" spéciale, suivi d’autres paquets SMB Write qui seront
ignorés. [grav:2/4]
Un attaquant peut scinder les données de SMB Write en paquets ne
contenant qu’un seul octet, encapsulés dans de petits fragments
IPv4/TCP. [grav:2/4]
Un attaquant peut dupliquer chaque paquet IPv4, en lui ajoutant
des options IPv4. [grav:2/4]
Un attaquant peut fragmenter les requêtes MSRPC en paquets
contenant au plus 25 octets de données. [grav:2/4]
Un attaquant peut envoyer des messages MSRPC où tous les entiers
sont encodés en Big Endian au lieu de Little Endian. [grav:2/4]
Un attaquant peut modifier les drapeaux NDR des messages MSRPC.
[grav:2/4]
Un attaquant peut créer des messages MSRPC fragmentés dans des
requêtes SMB fragmentées. [grav:2/4]
Un attaquant peut fragmenter des messages SMB en blocs contenant
un octet de données. [grav:2/4]
Un attaquant peut fragmenter des messages SMB en blocs contenant
au plus 32 octets de données. [grav:2/4]
Un attaquant peut employer un nom de fichier SMB commençant par
"inutile\..\". [grav:2/4]
Un attaquant peut employer des segments TCP se chevauchant.
[grav:2/4]
Un attaquant peut envoyer des segments TCP dans le désordre.
[grav:2/4]
Un attaquant peut fragmenter des données TCP en blocs d’un octet.
[grav:2/4]
Un attaquant peut utiliser une deuxième session TCP utilisant les
mêmes numéros de port. [grav:2/4]
Un attaquant peut utiliser une session TCP, donc le premier octet
est envoyé avec le drapeau urgent. [grav:2/4]
Un attaquant peut employer un message NetBIOS, dont les données
ressemblent à une requête HTTP GET. [grav:2/4]
Un attaquant peut injecter 5 SMB Write dans une session SMB Write.
[grav:2/4]
Un attaquant peut fragmenter une requête MSRPC dans des paquets
TCP envoyés dans l’ordre inverse. [grav:2/4]
Un attaquant peut fragmenter une requête MSRPC dans des paquets
TCP envoyés dans un ordre aléatoire. [grav:2/4]
Un attaquant peut fragmenter une requête MSRPC dans des paquet TCP
envoyés avec un numéro de séquence initial proche de 0xFFFFFFFF.
[grav:2/4]
Un attaquant peut envoyer un paquet NetBIOS vide, avant chaque
message NetBIOS. [grav:2/4]
Un attaquant peut envoyer un paquet NetBIOS de type invalide,
avant chaque message NetBIOS. [grav:2/4]
Un attaquant peut employer une variation inconnue. [grav:2/4]
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/IDS-IPS-Advanced-Evasion-Techniques-10227