La vulnérabilité provient du fait que le garde-barrière accepte par défaut les connexions entrantes qui sont destinées au processus "sessmgr.exe "(gestionnaire de session d'aide sur le bureau à distance, il gère et contrôle l'assistance à distance). Un utilisateur local sans privilège (ou un cheval de Troie) peut exploiter cette vulnérabilité en lançant un processus "sessmgr.exe" puis, au moyen de techniques d'injection de code, modifier le processus lancé pour lui faire exécuter le code de son choix. Comme ce code injecté s'exécute dans le contexte du processus "sessmgr.exe", le garde barrière ICF n'empêchera pas les connexions entrantes. Il est donc possible ainsi d'implanter une porte dérobée sur le système, sans que celle-ci soit bloquée par le garde-barrière personnel.

Un programme démontrant cette faiblesse ("Proof Of Concept") a été largement diffusé sur Internet.

Il est à noter que cette vulnérabilité est connue depuis un certain temps, et qu’elle est inhérente aux gardes-barrières personnels : si l'utilisateur a autorisé au moins une connexion rentrante pour une application, il est possible (par la même technique) de détourner cette application privilégiée pour y implanter une porte dérobée).

Les recommandations concernant cette faiblesse sont donc (outre les recommandations de sécurité standard concernant le code en provenance d’Internet) de ne pas se reposer uniquement sur les gardes-barrières personnels pour assurer la protection des systèmes connectés à Internet.

Pour plus d’information :

• Avis de sécurité de Securiteam : http://www.securiteam.com/exploits/6A00J0UBGS.html
• Avis de sécurité de Secunia : http://secunia.com/advisories/12793
• Archive de Bugtraq : http://www.securityfocus.com/archive/1/378754/2004-10-09/2004-10-15/1