La multinacional del software afirma que este puede ser aprovechado por hackers.

En un comunicado urgente Microsoft alerto de la existencia de un problema en Windows Firewall que podrÃ*a ser usado por usuarios maliciosos.

Según la firma no se trata de una vulnerabilidad de la aplicación ya que nadie puede usarlo para introducirse al equipo aunque puede crear un comportamiento no esperado del ordenador siendo usado para una actividad de ataque.

Este fallo comprende a todos los usuarios que usen la versión Windows XP SP 2.

Microsoft ya divulgó un parche para corregir el problema (http://www.microsoft.com/downloads/details.aspx?familyid=478FD24B-B2C4-4207-B1B9-1C988698C888&displaylang=en) aunque este solamente es accesible para los usuarios que tengan autentificada su versión de Windows.

Información de Noticiasdot.com

VSantivirus No. 1883 Año 9, viernes 2 de setiembre de 2005

Ocultamiento de información en firewall de Windows
http://www.vsantivirus.com/ms-advisory-897663.htm

Por Angela Ruiz
angela@videosoft.net.uy

Una debilidad ha sido identificada en Microsoft Windows, la cuál podrÃ*a se explotada por usuarios locales para esconder cierta información.

Microsoft publicó al respecto un aviso de seguridad identificado como Microsoft Security Advisory 897663.

Este fallo, se debe a un error en la manera en que la interfase del firewall de Windows, maneja ciertas entradas malformadas en el registro de Windows, lo cuál podrÃ*a ser explotado por un atacante o por un gusano o virus informático cuando el sistema ya haya sido comprometido, creando una entrada en las excepciones del cortafuego (Windows XP SP2), de tal modo que las mismas no serÃ*an mostradas en la interfase gráfica del usuario.

En el aviso, Microsoft aclara que aunque la interfase gráfica puede ocultar a la vista del usuario estas excepciones, en cambio sÃ* las puede mostrar la herramienta de administración de lÃ*nea de comandos del firewall (Netsh).

De todos modos, no se trata especÃ*ficamente de una vulnerabilidad, ya que se requieren privilegios administrativos para acceder a la sección asociada del registro de Windows que contiene la información de configuración.

Utilizando los métodos documentados para manejar y crear las excepciones del cortafuegos de Windows, es muy improbable que una entrada malformada pueda ser creada. Sin embargo, un atacante que ya haya comprometido el sistema, podrÃ*a crear estas entradas para confundir al usuario y dificultar la detección y limpieza manual de algún código malicioso.

Microsoft publicó un parche (de descarga manual), que próximamente será agregado a las actualizaciones automáticas. Mientras tanto, recomienda el siguiente método si se tienen dudas para examinar las excepciones activadas.

1. En Windows XP SP2, desde Inicio, Ejecutar escriba CMD más Enter.

2. Teclee la siguiente lÃ*nea (más Enter):

netsh firewall show state verbose = ENABLE

3. En el extenso listado, busque el siguiente tÃ*tulo (casi al final):

Puertos actualmente abiertos en todas las interfaces de red:

4. En la lista, aparecerán los puertos y programas que no son bloqueados. Esto incluirÃ*a los posibles programas o puertos que están asignados a una excepción (o sea, que no son bloqueados por el cortafuegos). Una salida como la siguiente, puede considerarse como normal, siempre que se refieran a una red local como en este caso (Ã�mbito: LocalSubNet):

Puerto Protocolo Versión Programa
--------------------------------------------
137 UDP IPv4 (null)
�mbito: LocalSubNet
139 TCP IPv4 (null)
�mbito: LocalSubNet
138 UDP IPv4 (null)
�mbito: LocalSubNet
445 TCP IPv4 (null)
�mbito: LocalSubNet


Software afectado:

- Microsoft Windows XP Service Pack 2
- Microsoft Windows XP Professional x64 Edition
- Microsoft Windows Server 2003 Service Pack 1
- Microsoft Windows Server 2003 SP1 para Itanium
- Microsoft Windows Server 2003 x64 Edition


Solución:

Aplicar el siguiente parche:

Actualización para Windows XP (KB897663)
http://www.microsoft.com/downloads/details.aspx?familyid=
478FD24B-B2C4-4207-B1B9-1C988698C888&displaylang=es

Esta actualización garantiza que las excepciones del firewall creadas a través del registro se muestren correctamente en la interfase del cortafuegos.

Nota: La actualización está disponible solo para usuarios de Microsoft Windows auténtico.

También utilizar otro cortafuegos (recomendamos ZoneAlarm), es una sugerencia válida.


Referencias:

Microsoft Security Advisory (897663)
Windows Firewall Exception May Not Display in the User Interface
http://www.microsoft.com/technet/security/...ory/897663.mspx (http://www.microsoft.com/technet/security/advisory/897663.mspx)

Microsoft Windows Firewall User Interface Exception Handling Issue
http://www.frsirt.com/english/advisories/2005/1595