Sistemas Windows son vulnerables a FragmentSmack, como el famoso bug de los años 90.



La compañia Microsoft informó sobre una vulnerabilidad que causa denegación de Servicio la cual afecta a varias versiones de Windows, la cual no tiene mitigaciones actuales. La vulnerabilidad afecta desde Windows 7 hasta Windows 10 y las versiones de servidor 2008, 2012, 2016, que no tengan las últimas actualizaciones de seguridad al dia.

Identificado con el ID CVE-2018-5391, el error fue apodado con el nombre de FragmentSmack por que esta responde a la fragmentación IP, un proceso que ajusta el tamaño del paquete para ajustarlo al tamaño de una Unidad Máxima de Transmisión (MTU).

Los ataques de fragmentación IP son una forma conocida de denegación de servicio, donde la computadora víctima recibe múltiples paquetes IP de un tamaño más pequeño que se espera que sean reensamblados en su forma original en el destino.

FragmentSmack es un tipo de ataque de fragmentación TCP, también conocido como ataque Teardrop, que impide volver a ensamblar los paquetes en el extremo del destinatario. La vulnerabilidad es tan antigua como Windows 3.1 y 95, donde colapsó el sistema operativo, pero también se vio en el Windows 7 más reciente.

El efecto es que la CPU de la máquina alcanza el nivel máximo de utilización y hace que el sistema operativo no responda. Tan pronto como cesa la salva del paquete, la CPU vuelve al uso normal y el sistema se recupera.

Microsoft recomienda deshabilitar el reensamblado de paquetes.

Si el ambiente no permite aplicar parches de seguridad de manera automática, microsoft recomienda deshabilitar dicha función para que evitar ser víctimas de este bug.

Netsh int ipv4 set global reassemblylimit=0
Netsh int ipv6 set global reassemblylimit=0

Algunos productos CheckPoint también se vieron afectados a esta vulnerabilidad y la compañía ya lanzó los hotfixes para reparar esta vulnerabilidad.

Inicialmente la vulnerabilidad fue descubierta en Sistemas Linux a comienzos de Agosto de este año, y fue apodada como SegmentSmack (CVE-2018-5390) donde se vieron afectado equipos con kernel 3.9 y superior. Esta vulnerabilidad ya está parchada en la gran mayoría de las distribuciones