PDA

Просмотр полной версии : Возможность обхода встроенного файрволла Windows



SDA
24.02.2005, 22:34
Возможность обхода встроенного файрволла Windows

Как пишет Jay Calvert из HabaneroNetworks.com, им обнаружена возможность обхода защиты, применяемого в ОС Windows при помощи встроенного в эту ОС файрволла ICF. Для этого, якобы, достаточно добавить новый ключ в ветвь рееестра

HKEY_LOCAL_MACHINE/SYSTEM/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications/List.

При это возникает возможность обхода ограничений, накладываемых ICF (в том числе и на сетевые приложения). Тем не менее, как замечают автору в списке рассылки Bugtraq, полный доступ к данной ветви доступен только для системных эккаунтов SYSTEM и Administrators, остальным пользователям эта ветвь доступна только для чтения. Однако уже появился тип шпионского ПО (spyware) "(Интересно какие?)", который использует эту "особенность", создавая (при помощи использования одной из уязвимостей) эккаунт в группе Администраторов и потом создавая ключ, который позволяет обходить файрволл. Также отмечается, что это "особенность дизайна" разработчиков сами_знаете_какой_ОС.

Подробности http://habaneronetworks.com/viewArticle.php?ID=144

Зайцев Олег
24.02.2005, 23:01
Возможность обхода встроенного файрволла Windows

Как пишет Jay Calvert из HabaneroNetworks.com, им обнаружена возможность обхода защиты, применяемого в ОС Windows при помощи встроенного в эту ОС файрволла ICF. Для этого, якобы, достаточно добавить новый ключ в ветвь рееестра ......

Эта "уязвимость" мне известна с момента появления ICF, только я считал это особенностью реализации (я изучал эту особенность с точки зрения автоматизации настройки Firewall на множестве ПК по определенному шаблону).
Ключ реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\Parameters\FirewallPolicy хранит все настройки ICF, в частности в ...\FirewallPolicy\StandardProfile есть параметр EnableFirewall, который хранит статус Firewall (0-запрещен, 1-включен), что позволяет любой программе отключить Firewall. Там-же параметр DoNotAllowExceptions управляет разрешением/запретом исключений.
Ключ ...\FirewallPolicy\StandardProfile\AuthorizedAppli cations содержи список приложений, имеющих персональные настройки. Имя параметра в этом ключе равно полному имени приложения, значение кодирует настройку (там очень простой принцип, текстовая строка с настройкой). Пример:
C:\Program Files\Far\Far.exe = C:\Program Files\Far\Far.exe:*:Enabled:File and archive manager - разрешение программе FAR работать с сетью и Инет
Ключ ... FirewallPolicy\StandardProfile\GloballyOpenPorts содержит список "Глобально открытых портов", т.е. портов, прослушивание которых разрешено и по которым разрешен прием пакетов из заданной зоны (или с заданных адресов). Пример:
445:TCP=445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005 - разрешение входящих соединений из зоны адресов "локальная сеть" по порту TCP 445

Короче говоря, это "уязвимость", аналогичная ключам реестра с настроками страницы поиска, префиксов протокола ... браузера - любая программа может покорежить эти настройки. Методика борьбы - ограничение доступа к данным ключам реестра путем настройки привилегий. По умолчанию права на этот ключ имеют система и члены группы "Администраторы"

SDA
24.02.2005, 23:26
Я так понимаю, что это касается и встроенного фаервола в XP сервис пак 2?
И интересно, что за вид спайваре(или трояны) использует эту "особенность", создавая (при помощи использования одной из уязвимостей) эккаунт в группе Администраторов и потом создавая ключ, который позволяет обходить файрволл.

Зайцев Олег
25.02.2005, 09:34
Я так понимаю, что это касается и встроенного фаервола в XP сервис пак 2?
И интересно, что за вид спайваре(или трояны) использует эту "особенность", создавая (при помощи использования одной из уязвимостей) эккаунт в группе Администраторов и потом создавая ключ, который позволяет обходить файрволл.

Примеры:
Worm.Win32.Mydoom.ah (http://www3.ca.com/securityadvisor/virusinfo/virus.aspx?id=41540)
BackDoor-CIO (http://vil.nai.com/vil/content/v_128306.htm)
Troj/Banker-AK (http://www.sophos.com/virusinfo/analyses/trojbankerak.html)
Worm.Win32.Zusha.a (http://protection.net.ru/item/w32-hllw-zusha)
....
Короче говоря, отключение и переконфигурация встроенного Firewall - давно применяемася методика, как правило используемая наряду с остановкой процессов антивирусов и Firewall