Un DoS in ICS di Windows disabilita Windows Firewall

Il servizio ICS di Microsoft Windows, il quale permette di condividere una connessione ad internet in una LAN, è soggetto ad un DoS nel caso in cui il datagramma DNS ricevuto contenga negli Additional RRs due byte NULL.

Da sabato 28 Ottobre è disponibile un exploit 0day remoto che sfruttando questo bug causa l’arresto del processo svchost.exe (modulo ipnathlp). Essendo ICS fortemente connesso a Windows Firewall per via di svchost, questo codice maligno riesce a  bloccare anche il firewall di Windows.
Il bug può essere sfruttato solo se nella macchina target è attivo ICS. La cosa pericolosa è che tutto ciò è riproducibile su una macchina che monta Windows Xp SP2 aggiornata con le ultime patch.

Per maggiori informazioni si può leggere l’attenta analisi di Tyler Reguly della nCircle Network Security Inc e la RFC sul protocollo DNS.

 

Nessun Commento.. Puoi essere il primo!

Lascia un Commento