Hackere har sendt en kode ud, som lukker for den indbyggede firewall i computere, der kører med styresystemet Windows XP..
Koden, der lukker for operativsystemets firewall, kan benyttes på fuldt opdaterede computere, der kører Windows Internet Connection-service (ICS).
Denne service giver Windows-brugeren mulighed for at benytte computeren som router og derved dele en internet-forbindelse mellem flere maskiner på lokalnetværket.
ICS benyttes typisk på hjemmecomputere og i mindre virksomheder.
Ved at lukke for Windows firewall kan en angriber åbne døre til nye typer angreb på maskinen.
Sårbarheden er set før
I praksis udføres angrebet i lokalnetværket.
Angriberen sendes en datapakke, der lukker for ICS til de øvrige maskiner i netværket.
Da ICS er tilknyttet Windows firewall stoppes denne service i samme moment, skriver Tyler Reguly, fra sikkerhedsvirksomheden nCircle Network Security på sin blog.
Angrebet bekræftes af en dansk sikkerhedsekspert, der fortæller, at problemet er set i forskellige afskygninger gennem de seneste år.
- Metoden er en reel trussel, og koden er en ny udgave af et problem, der har været med ICS gennem et års tid, siger Peter Kruse fra sikkerhedsfirmaet CSIS.
Han karakteriserer trusselsniveauet som middel, men siger samtidig, at der er formildende omstændigheder. En række faktorer, skal nemlig opfyldes før angrebet er en realitet.
Kræver adgang til lokalnetværket
Den væsentligst er, at koden skal sendes fra en maskine, der er placeret i lokalnetværket for at kunne lukke for tjenesten.
Samtidig har angrebet kun effekt på et system, der benytter ICS. Denne service er slået fra i XP’s standardopsætning.
Sidst men ikke mindst har angrebet kun effekt på Windows indbyggede firewall. Kører man således en firewall fra en anden producent lukkes den ikke, og man er derfor uden for risikogruppen.
For at beskytte sig mod problemet kan man lukke for ICS. Denne handling vil dog samtidig lukke for internet-forbindelsen.
En anden simpel metode er at lukke for Microsofts firewall og benytte et produkt fra en anden producent.
Pressen før producenten
Problemet er en såkaldt 0-dagssårbarhed, det vil sige, at den er offentliggjort i medierne uden at Microsoft på forhånd er blevet adviseret om problemet.
Virksomhedens officielle udtalelse er da også, at det ikke er bekendt med kunder, der har været udsat for angreb begået med den rapporterede sårbarhed.