Nog maar net bekomen van de impact van "Copy Fail", is er een nieuwe kwetsbaarheid opgedoken: Dirty Frag. Waar de vorige lekken zich vaak richtten op logicafouten, tapt Dirty Frag uit een ander vaatje: de manier waarop systemen omgaan met gefragmenteerde netwerkpakketten.

Wat is Dirty Frag precies?

Dirty Frag is een kwetsbaarheid die ontstaat bij de reconstructie van gefragmenteerde IP-pakketten. Wanneer data over het internet wordt verstuurd, wordt deze vaak opgesplitst in kleinere stukjes (fragmenten). De ontvangende machine moet deze weer in de juiste volgorde aan elkaar plakken.

Bij Dirty Frag manipuleert een aanvaller deze fragmenten zodanig dat er tijdens het samenvoegen een buffer overflow of een memory corruption optreedt.

Hoe werkt het technisch?

In essentie maakt Dirty Frag gebruik van overlappende fragmenten met tegenstrijdige informatie.

Manipulatie: De aanvaller stuurt fragmenten die elkaar gedeeltelijk overlappen.
Verwarring: Het besturingssysteem weet niet welk deel van de overlap "waar" is.
Exploitatie: Door een specifieke fout in de kernel-logica wordt er meer data naar het geheugen geschreven dan er ruimte is gereserveerd. Dit stelt aanvallers in staat om eigen code uit te voeren met systeemrechten (Remote Code Execution).

Waarom is dit gevaarlijk?

Het grote probleem met Dirty Frag is dat het zich afspeelt op een zeer laag niveau in de netwerkstack. Veel firewalls en Intrusion Detection Systems (IDS) hebben moeite om deze kwaadaardige fragmenten te herkennen, omdat ze op zichzelf vaak legitiem lijken totdat ze worden samengevoegd.

Wat kun je doen?

Patch direct: Fabrikanten rollen momenteel updates uit. Dit is je belangrijkste verdedigingslinie.
Netwerksegmentatie: Zorg dat een eventuele inbreuk zich niet direct door je hele bedrijf kan verspreiden.
Inspectie: Gebruik geavanceerde firewalls die in staat zijn om gefragmenteerd verkeer te bufferen en te controleren voordat het de eindserver bereikt.