Windows Firewall - możliwe zdalne wyłączenie
Dwa dni temu, w internecie opublikowano kod, który umożliwia zdalne wyłączenie zapory sieciowej (firewall) systemu Windows XP na komputerach udostępniających internet w domowej lub biurowej sieci. Działanie kodu zostało potwierdzone na systemie Windows XP z zainstalowanymi wszystkimi łatkami, natomiast nie udało się przeprowadzić ataku na Windows Server 2003.
reklama
Umieszczony w Sieci kod umożliwia zdalne zamknięcie usługi Internet Connection Service (ICS), a z nią także systemowej zapory sieciowej - Windows Firewall - donosi Network World.
ICS pozwala przekształcić komputer podłączony do internetu w router, który z kolei dzieli łącze pomiędzy pozostałe komputery będące w lokalnej sieci. Najczęściej ten sposób podziału internetu wykorzystywany jest w sieciach domowych oraz małych biurach.
Atakujący, podłączony do takiej sieci, może przesłać do innego komputera pakiet ze złośliwym kodem, który spowoduje wyłączenie ICS. Ponieważ usługa ta połączona jest z zaporą sieciową Windows, może ona zostać także wyłączona, czyli zaatakowany komputer pozostanie bez ochrony, umożliwiając przeprowadzenie innego typu ataków, które z kolei mogą doprowadzić m.in. do przejęcia systemu ofiary.
Szczegóły dotyczące przeprowadzenia ataku oraz ułomności Windows opisał Tyler Reguly na blogu The VERT Daily Post.
Istnieje jednak kilka czynników utrudniających przeprowadzenie takiego ataku. Napastnik musi być podłączony do danej sieci komputerowej. W celu przeprowadzenia skutecznego ataku, na komputerze ofiary musi być ponadto uruchomiona usługa ICS, która domyślnie w Windows jest wyłączona.
Zagrożenie nie występuje, gdy użytkownik komputera korzysta z firewalla innego producenta niż Microsoft, albo gdy sieć została stworzona przy pomocy zewnętrznego urządzenia do łączenia komputerów.
W oświadczeniu prasowym Microsoft poinformował, że problem dotyczy "tylko użytkowników systemu Windows XP" i jak dotąd firma nie odnotowała żadnych zgłoszeń ataków przeprowadzonych tą drogą.