A fost anuntata existenta unei vulnerabilitati in sistemele de operare Windows XP si Windows Server 2003, care exploatata poate permite unui atacator sa lanseze atacuri de tip Denial of Service (DoS).

Cauza vulnerabilitatii pare sa fie o verificare incompleta in modul in care sunt analizate pachetele TCP/IP primite pe interfetele de retea ale sistemului.

Astfel, un atacator poate trimite un pachet TCP/IP special modificat, efectul fiind utilizarea in proportie de 100% a procesorului un interval intre 5 si 20 de secunde in care sistemul nu mai raspunde, sau reactioneaza foarte greu la comenzile utilizatorului.

Dupa trecerea intervalului de timp in care sistemul este aproape blocat, functionarea revine la normal fara efecte secundare ulterioare. Totusi, un atac ulterior va conduce la aparitia aceleiasi probleme. Astfel, trimiterea la fiecare 5 secunde a unui pachet modificat poate scoate aproape complet din uz un sistem afectat.

Acest atac este de tip LAND, iar pachetul special modificat are urmatoarele caracteristici:

- sursa si destinatia pachetului sunt setate sa fie aceleasi, si anume adresa IP a sistemului atacat

- porturile sursa si destinatie au aceeasi valoare

- flag-ul SYN este activat.

In urma testelor efectuate de GeCAD NET, concluzia este ca pentru a se putea exploata vulnerabilitatea, este necesar ca unul din urmatoarele seturi de conditii sa fie indeplinit:

- sistemul afectat sa nu aiba un firewall si sa ofere cel putin un serviciu care foloseste un port accesibil

- sistemul sa aiba firewall, dar sa permita accesul din exterior pe anumite porturi folosite de servicii.

In cazul in care nu este disponibil nici un port prin folosirea unui firewall, sau este permis accesul pe un port dar nu este nici un serviciu activ care sa il utilizeze, atacul nu are efectul mentionat mai sus.

De asemenea, firewall-ul din Windows Server 2003, cat si utilizarea ISA Server 2004 au reusit oprirea pachetului modificat inainte ca acesta sa cauzeze efectul de tip Denial of Service.

Versiunile afectate de aceasta vulnerabilitate sunt Windows Server 2003 Datacenter Edition, Windows Server 2003 Enterprise Edition, Windows Server 2003 Standard Edition, Windows Server 2003 Web Edition, Windows XP Home Edition, Windows XP Professional.

Drept solutie, este recomandata folosirea unui firewall care sa filtreze accesul la porturile folosite de serviciile oferite de sistemele afectate