Zero-day derruba Windows via firewall
O pesquisador de segurança Marcus Hutchins divulgou em 3 de junho de 2026 uma vulnerabilidade zero-day no driver de firewall do Comodo Internet Security que permite a invasores remotos causar tela azul da morte (BSOD) em máquinas Windows com um único pacote IPv6 malformado. A falha, batizada de “ComoDoS”, afeta o driver de kernel Inspect.sys e não possui patch disponível. A Comodo não respondeu às tentativas de contato do pesquisador.
Integer underflow no parser IPv6
A vulnerabilidade reside no parser de extension headers IPv6 dentro do driver Inspect.sys. O componente armazena o tamanho do payload em packet_desc->payload_length, mas nunca valida esse campo. Quando um atacante define o payload length com valor menor que o tamanho total dos extension headers, ocorre um underflow no inteiro de 64 bits sem sinal, que passa para aproximadamente 18 quintilhões (0xFFFFFFFFFFFFFFF8). O resultado é uma operação memcpy com tamanho corrompido que causa um overflow de 4 GB no kernel pool, derrubando o sistema antes que qualquer execução de código seja possível.
Ataque ignora regras de firewall
O aspecto mais crítico dessa falha é que ela existe no driver do firewall em si — o pacote malicioso é processado antes que qualquer regra de firewall seja aplicada. Isso significa que o ataque funciona mesmo que o firewall esteja configurado para bloquear todas as portas. Hutchins liberou prova de conceito completa no GitHub usando o extension header “Destination Options” (Next Header = 60), escolhido especificamente por ser o menos provável de ser descartado por roteadores intermediários, tornando a exploração remota mais confiável. Diferente de casos anteriores de zero-days divulgados sem coordenação com o vendor, Hutchins afirma ter tentado contato múltiplas vezes antes da divulgação pública.
| Aspecto técnico | Detalhe |
|---|---|
| Componente afetado | Inspect.sys (kernel driver do Comodo) |
| Tipo de falha | Integer underflow no parser IPv6 |
| Vetor de ataque | Pacote IPv6 único malformado |
| Impacto | BSOD (Denial of Service) |
| Patch disponível | Não — vendor não respondeu |
| Autenticação necessária | Nenhuma (remoto) |
Block de headers IPv6 é urgente
Embora execução remota de código seja considerada improvável (o overflow de kernel pool de 4 GB causa crash antes de qualquer execução), a falha representa risco sério para ambientes que dependem do Comodo Internet Security. A ausência de resposta da Comodo segue um padrão preocupante — uma advisory anterior da Zero Day Initiative (ZDI-24-953) documentou que o mesmo vendor ignorou pedidos de patch por quase dois anos. Até que um patch oficial seja lançado, organizações devem monitorar tráfego IPv6 anômalo no perímetro da rede, bloquear extension headers IPv6 — particularmente Destination Options (Next Header = 60) — em dispositivos de borda e avaliar a substituição do Comodo por soluções de segurança que mantenham ciclos de patch responsivos.