Se le llama HIPS (host-based intrusion prevention system) a los sistemas de protección para máquinas de trabajo que son utilizadas como servidores. Los programas cortafuego de ordenadores personales son abreviados como PFW (Personal FireWall).

Los sistemas operativos basados en Windows con un núcleo Kernel NT (de versión 5.0 o superior), utilizan números enteros divisibles por cuatro para identificar los procesos que manejan.

La implementación interna del sistema de funciones API de Windows, permite a los programadores el uso de enteros que no sean divisibles por cuatro. Esto significa que existe la posibilidad de usar más de un identificador por proceso. El control de las funciones API, que trabaja con los identificadores de los procesos, como OpenProcess, asume que el usar identificadores divisibles por cuatro es insuficiente.

Es posible que el software de seguridad implemente una protección para un proceso principal mediante un identificador. Es muy sencillo encontrar uno equivalente que suplante al verdadero, y de esta forma engañar a la aplicación de seguridad en funciones.

Las aplicaciones que han sido listadas en este artículo, implementan un proceso que protege a procedimientos con carácter crítico. Estas protecciones pueden ser deshabilitadas si utilizan identificadores no divisibles por cuatro. En tal caso es posible que el cortafuego malinterprete una llamada realizada y permita una acción que debió ser originalmente prohibida.

Esto es un error grave que puede ser explotado para ganar el control total del sistema.

El software vulnerable es:

Comodo Firewall Pro 2.4.18.184
Comodo Personal Firewall 2.3.6.81
ZoneAlarm Pro 6.1.744.001

Es posible que versiones más viejas o nuevas de estos productos puedan verse afectados, lo mismo que otras aplicaciones existentes en el mercado .

ZoneAlarm Pro 6.5.737.000 y superiores corrigieron el problema.

El descubridor de este fallo es Matousec, quien ha publicado una prueba de concepto al respecto.