Secondo quanto riportato dai ricercatori di Symantec, il firewall integrato in Windows Vista può essere facilmente "violato" a causa di alcune decisioni di progettazione fatte da Microsoft. Tre giorni fa, Orlando Padilla, un ricercatore di sicurezza del security response team di Symantec, ha pubblicato i risultati di uno studio sull'Impatto del Codice Nocivo su Windows Vista, in due blog post dedicati, evidenziando questa non trascurabile debolezza della componente firewall del sistema operativo.

 Vista Firewall: Limitato Per Scelta 

"[Il firewall] impone una ottima limitazione all'azione del codice nocivo che cerca di creare una backdoor in un host … Sfortunatamente, il pulsante di Sblocco può essere raggiunto con lo stesso livello di privilegi di un utente standard. Questa configurazione di privilegi creare un punto di vulnerabilità che mina alla base l'efficienza dei criteri firewall in Windows Vista", scrive Padilla. Javier Santoyo, manager per il development nel gruppo di ricerca Symantec, spiega: "Violare un firewall non è nulla di nuovo, tuttavia Microsoft, con Vista e User Account Control [UAC], aveva l'opportunità di rafforzare questa funzione", e non lo ha fatto.

Secondo Santoyo, il problema è che il firewall di Vista blocca tutto il traffico di rete third-party e non sicuro a meno che l'utente non clicca il pulsante Sblocca: non è difficile per un attacker programmare un codice malevolo capace di eseguire questa operazione in maniera silente. Per automatizzare questa funzione basta sfruttare la chiamata API SendMessage, aggiunge Padilla. Microsoft avrebbe dovuto accertarsi che solo un click di un utente reale fosse in grado di sbloccare il firewall per una applicazione che chiede accesso ad internet. "Avrebbero potuto programmarlo in modo tale che solo un utente interattivo fosse in grado di cliccare questo pulsante".

Le motivazioni per ingannare Vista e permettere ad un malware di accedere ad internet sono chiare: "A quel punto sono in grado di scaricare ulteriore codice malware" o nascondere il traffico di command-and-control tra il PC infetto e quello del cybercriminale, sfruttando la macchina come spam zombie o denial-of-service attacker. "Supponendo che un attacker possa effettuare lo sblocco del firewall, la maggior parte delle funzionalità presenti comunemente in un bot sarebbero disponibili", scrive Padilla nel suo paper di ricerca. Secondo Symantec, un altro aspetto preoccupante di Vista è che non UAC permette ad un utente stardard di richiamare le funzioni, SetWindowsHookEx e GetAsyncKeyState, permettendo di eseguire un attacco per operazioni di perform keylogger o sniffer-like.

Novità nel Windows Firewall di Windows Vista e Windows Server "Longhorn":
Supporto per traffico in entrata ed in uscita; Nuovo Microsoft Management Console (MMC) snap-in per la configurazione GUI; Impostazioni integrate per Firewall filtering e Internet Protocol security (IPsec); Configurazione eccezioni per accounts e gruppi Active Directory, indirizzi IP sorgente e destinazione, numero IP, porte sorgente e destinazione Transmission Control Protocol (TCP) e User Datagram Protocol (UDP), porte TCP o UDP (tutte o multiple), specifici tipi di interfaccia (LAN, accesso remoto, interfaccia wireless, ecc..), traffico Internet Control Message Protocol (ICMP) e ICMP per IPv6 (ICMPv6) per Type e Code, e servizi. Il nuovo firewall supporta il firewalling per il traffico in entrata, quindi si occupa di far cadere il traffico in entrata "non richiesto" che non corrisponde né al traffico inviato in risposta ad una richiesta del computer (traffico richiesto) né al traffico non richiesto che è stato settato come "consentito" (excepted traffic). Questa funzione di firewalling è cruciale per il computer, infatti aiuta a prevenire le infezioni causate da virus e worm "a livello di rete" che si diffondo tramite traffico in entrata "non richiesto". Il comportamento predefinito del nuovo Windows Firewall: Blocca tutto il traffico in entrata a meno che non sia "richiesto" o specificato in una eccezione; Consente tutto il traffico in uscita a meno che non corrisponda ad una eccezione.