DoS-Schwachstelle im Internet Connection Sharing von Windows

Ein einziges präpariertes Paket genügt, um den Internet-Connection-Sharing-Dienst (ICS) unter Windows zum Absturz zu bringen. ICS wird üblicherweise eingesetzt, um einen Windows-XP-PC im Netz als Internet-Gateway für andere Windows-Rechner bereitzustellen. Dabei sorgt ICS unter anderem für die Adressumsetzung von öffentlichen IP-Adressen zu privaten IP-Adressen mittels Network Adress Translation (NAT). Auch der Windows Compute Cluster Server 2003 nutzt das Internet Connection Sharing zur Übersetzung von Adressen per NAT.

Aufgrund einer Null-Pointer-Dereference im NAT-Helper ipnathlp.dll kommt es bei DNS-Anfragen, die zwei Null-Bytes in den Additional Resource Records enthalten, zu einem Absturz des dazugehörigen Service-Host-Prozesses (svchost) – in der Folge stürzt die Windows-Firewall gleich mit ab, sodass der Rechner ungeschützt ist. Der Fehler wurde für ein vollständig gepatchtes Windows XP SP2 bestätigt, ob auch die im Server 2003 eingesetzte Version des NAT-Helpers betroffen ist, ist nicht gänzlich geklärt. Ein Proof-of-Concept-Exploit ist bereits öffentlich verfügbar, ein Update nicht. Da der Angriff aus dem LAN kommen muss und das Netz hinter dem ICS-Gateway in der Regel überschaubar ist, ist das Problem eher unkritisch.

Siehe dazu auch: (dab)

• Microsoft ICS DoS FAQ, Blog-Eintrag von Tyler Reguly