[Info] Vulnerabilidad en el cortafuegos de Windows XP y XP SP1

Hash: SHA1

Pues eso no es nuevo precisamente. "Alguien" (el cuervo no, por supuesto) lo mencionó hace tiempo. Estos de SecurityFocus llegan un poco tarde. ;-)
http://www.multingles.net/docs/firewallxp.htm

Ramón Sola @ Málaga (España) / MVP Windows - Shell/User
(quitar "IFeelGreat")


A todos los que el presente vieren y entendieren, sabed:
Que "Enrique [MVP Windows]" viene en sancionar el mensaje ...

El cortafuegos integrado de Windows XP (conocido como ICF, por las
siglas de Internet Conexión Firewall), posee una vulnerabilidad que
permite eludirlo en determinadas condiciones de funcionamiento.

El problema se presenta durante el proceso de arranque de Windows XP.
La vulnerabilidad permite que ciertos paquetes puedan pasar el filtrado
impuesto por el cortafuegos.

Un atacante remoto podría explotar esta vulnerabilidad, pudiendo
realizar una conexión de red a servicios normalmente protegidos por el
cortafuegos. Esto podría abrir una vía de ataque a pesar de tener
activo el cortafuegos, creando una falsa sensación de seguridad.

Sin embargo, es de hacer notar que las posibilidades de efectuar un
ataque exitoso son muy pocas, debido al espacio de tiempo y momento
requerido para llevar a cabo el mismo. Esto disminuye el nivel de
riesgo al mínimo, aunque la posibilidad exista.

El problema afecta a todas las versiones de Windows XP y XP SP1, y no
se requiere de un exploit específico para provocarlo. El problema fue
reportado por el propio Microsoft, y la solución del mismo pasa por la
instalación del Service Pack 2 de Windows XP, que corrige esta
vulnerabilidad, y agrega otras protecciones al sistema.


Microsoft Windows Internet Connection Firewall Filter Bypass
Vulnerability http://www.securityfocus.com/bid/10930/info/


Nota: precisamente éste fue el problema que causó que tantos usuarios,
aun activando el firewall en Windows XP, se infectaran con el Blaster,
o el Sasser, o alguna de sus variantes, cuando instalaban el sistena
operativo, al no haber implementado los parches correspondientes antes
de establecer la conexión a Internet.


Saludos,
Enrique Cortés
Microsoft MVP - Windows - IE/OE


Normas de conducta de los grupos de noticias:
http://support.microsoft.com/defaul...newsreglas
http://www.microsoft.com/communitie...fault.mspx

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. This posting is provided "AS IS" with no
warranties, and confers no rights.

Pozí.

Este artículo ya lo había leído, pero ya ni me acordaba... efectivamente habla claramente de la
vulnerabilidad:

"...En la actualidad (previo al SP2), existe un intervalo de tiempo entre que el stack de la red ha
arrancado y cualquier servicio de firewall -incluido el ICF- da protección a la red. Esto es debido
a que los drivers de los firewall no pueden arrancar el filtro hasta que el servicio de firewall
esté arrancado y se apliquen sus reglas. Los servicios de firewall tienen dependencias establecidas
(por ejemplo dependen de los servicios de red y que la pila tcp esté totalmente arrancada). Aunque
este período de tiempo es pequeño y depende de la velocidad de la máquina, durante ese breve lapso
de tiempo una máquina está desprotegida.

En el SP2 de XP con su nuevo ICF, el driver de firewall tiene una regla estática especifica de
protección Esta regla se denomina "boot-time policy", la cual permite a la máquina realizar tareas
básicas de red como DNS y DHCP y comunicarse con el controlador de Dominio, si existiese, para
obtener las políticas. Una vez que el servicio de firewall está en ejecución, carga y ejecuta la
política de ICF y remueve los filtros prefijados en tiempo de boot. La política de boot-time *no*
puede reconfigurarse y por tanto da seguridad completa a la red..."

En realidad, Microsoft ya hace mucho tiempo que tenía conocimiento de esta vulnerabilidad, lo que
pasa es que debido a su baja peligrosidad (y a otras razones), no se había publicado, y ahora, con
la puesta en marcha del SP2, ha sido el momento de poner las cosas claras.

Gracias por recordarme el artículo ;-)

Saludos,
Enrique Cortés
Microsoft MVP - Windows - IE/OE


Normas de conducta de los grupos de noticias:
http://support.microsoft.com/defaul...newsreglas
http://www.microsoft.com/communitie...fault.mspx

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.

"Ramón Sola [MVP Windows Client]" escribió en el mensaje
news:
Hash: SHA1

Pues eso no es nuevo precisamente. "Alguien" (el cuervo no, por supuesto) lo mencionó hace tiempo.
Estos de SecurityFocus llegan un poco tarde. ;-)
http://www.multingles.net/docs/firewallxp.htm

Ramón Sola @ Málaga (España) / MVP Windows - Shell/User
(quitar "IFeelGreat")


A todos los que el presente vieren y entendieren, sabed:
Que "Enrique [MVP Windows]" viene en sancionar el mensaje ...

El cortafuegos integrado de Windows XP (conocido como ICF, por las
siglas de Internet Conexión Firewall), posee una vulnerabilidad que
permite eludirlo en determinadas condiciones de funcionamiento.

El problema se presenta durante el proceso de arranque de Windows XP.
La vulnerabilidad permite que ciertos paquetes puedan pasar el filtrado
impuesto por el cortafuegos.

Un atacante remoto podría explotar esta vulnerabilidad, pudiendo
realizar una conexión de red a servicios normalmente protegidos por el
cortafuegos. Esto podría abrir una vía de ataque a pesar de tener
activo el cortafuegos, creando una falsa sensación de seguridad.

Sin embargo, es de hacer notar que las posibilidades de efectuar un
ataque exitoso son muy pocas, debido al espacio de tiempo y momento
requerido para llevar a cabo el mismo. Esto disminuye el nivel de
riesgo al mínimo, aunque la posibilidad exista.

El problema afecta a todas las versiones de Windows XP y XP SP1, y no
se requiere de un exploit específico para provocarlo. El problema fue
reportado por el propio Microsoft, y la solución del mismo pasa por la
instalación del Service Pack 2 de Windows XP, que corrige esta
vulnerabilidad, y agrega otras protecciones al sistema.


Microsoft Windows Internet Connection Firewall Filter Bypass
Vulnerability http://www.securityfocus.com/bid/10930/info/


Nota: precisamente éste fue el problema que causó que tantos usuarios,
aun activando el firewall en Windows XP, se infectaran con el Blaster,
o el Sasser, o alguna de sus variantes, cuando instalaban el sistena
operativo, al no haber implementado los parches correspondientes antes
de establecer la conexión a Internet.


Saludos,
Enrique Cortés
Microsoft MVP - Windows - IE/OE


Normas de conducta de los grupos de noticias:
http://support.microsoft.com/defaul...newsreglas
http://www.microsoft.com/communitie...fault.mspx

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. This posting is provided "AS IS" with no
warranties, and confers no rights.

Efectivamente es un viejo tema ya por muchos conocido (23/5/2002)
http://support.microsoft.com/defaul...-US;323009

Saludos.

Sí, pero fíjate que articulito más escueto y con pocas explicaciones...


Saludos,
Enrique Cortés
Microsoft MVP - Windows - IE/OE


Normas de conducta de los grupos de noticias:
http://support.microsoft.com/defaul...newsreglas
http://www.microsoft.com/communitie...fault.mspx

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.

"Jordi" <jabrubio"quitaesto"@msn.com> escribió en el mensaje
news:%23%
Efectivamente es un viejo tema ya por muchos conocido (23/5/2002)
http://support.microsoft.com/defaul...-US;323009

Saludos.

Cierto: lo breve, si bueno, dos veces bueno.
Saludos.