Возможность обхода встроенного файрволла Windows
Возможность обхода встроенного файрволла Windows
Как пишет Jay Calvert из HabaneroNetworks.com, им обнаружена возможность обхода защиты, применяемого в ОС Windows при помощи встроенного в эту ОС файрволла ICF. Для этого, якобы, достаточно добавить новый ключ в ветвь рееестра
HKEY_LOCAL_MACHINE/SYSTEM/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications/List.
При это возникает возможность обхода ограничений, накладываемых ICF (в том числе и на сетевые приложения). Тем не менее, как замечают автору в списке рассылки Bugtraq, полный доступ к данной ветви доступен только для системных эккаунтов SYSTEM и Administrators, остальным пользователям эта ветвь доступна только для чтения. Однако уже появился тип шпионского ПО (spyware) "(Интересно какие?)", который использует эту "особенность", создавая (при помощи использования одной из уязвимостей) эккаунт в группе Администраторов и потом создавая ключ, который позволяет обходить файрволл. Также отмечается, что это "особенность дизайна" разработчиков сами_знаете_какой_ОС.
Подробности [url]http://habaneronetworks.com/viewArticle.php?ID=144[/url]
Re:Возможность обхода встроенного файрволла Windows
[QUOTE=SDA]
Возможность обхода встроенного файрволла Windows
Как пишет Jay Calvert из HabaneroNetworks.com, им обнаружена возможность обхода защиты, применяемого в ОС Windows при помощи встроенного в эту ОС файрволла ICF. Для этого, якобы, достаточно добавить новый ключ в ветвь рееестра ......
[/QUOTE]
Эта "уязвимость" мне известна с момента появления ICF, только я считал это особенностью реализации (я изучал эту особенность с точки зрения автоматизации настройки Firewall на множестве ПК по определенному шаблону).
Ключ реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy хранит все настройки ICF, в частности в ...\FirewallPolicy\StandardProfile есть параметр EnableFirewall, который хранит статус Firewall (0-запрещен, 1-включен), что позволяет [b]любой[/b] программе отключить Firewall. Там-же параметр DoNotAllowExceptions управляет разрешением/запретом исключений.
Ключ ...\FirewallPolicy\StandardProfile\AuthorizedApplications содержи список приложений, имеющих персональные настройки. Имя параметра в этом ключе равно полному имени приложения, значение кодирует настройку (там очень простой принцип, текстовая строка с настройкой). Пример:
C:\Program Files\Far\Far.exe = C:\Program Files\Far\Far.exe:*:Enabled:File and archive manager - разрешение программе FAR работать с сетью и Инет
Ключ ... FirewallPolicy\StandardProfile\GloballyOpenPorts содержит список "Глобально открытых портов", т.е. портов, прослушивание которых разрешено и по которым разрешен прием пакетов из заданной зоны (или с заданных адресов). Пример:
445:TCP=445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005 - разрешение входящих соединений из зоны адресов "локальная сеть" по порту TCP 445
Короче говоря, это "уязвимость", аналогичная ключам реестра с настроками страницы поиска, префиксов протокола ... браузера - любая программа может покорежить эти настройки. Методика борьбы - ограничение доступа к данным ключам реестра путем настройки привилегий. По умолчанию права на этот ключ имеют система и члены группы "Администраторы"
Re:Возможность обхода встроенного файрволла Windows
Я так понимаю, что это касается и встроенного фаервола в XP сервис пак 2?
И интересно, что за вид спайваре(или трояны) использует эту "особенность", создавая (при помощи использования одной из уязвимостей) эккаунт в группе Администраторов и потом создавая ключ, который позволяет обходить файрволл.
Re:Возможность обхода встроенного файрволла Windows
[QUOTE=SDA]
Я так понимаю, что это касается и встроенного фаервола в XP сервис пак 2?
И интересно, что за вид спайваре(или трояны) использует эту "особенность", создавая (при помощи использования одной из уязвимостей) эккаунт в группе Администраторов и потом создавая ключ, который позволяет обходить файрволл.
[/QUOTE]
Примеры:
Worm.Win32.Mydoom.ah ([url]http://www3.ca.com/securityadvisor/virusinfo/virus.aspx?id=41540[/url])
BackDoor-CIO ([url]http://vil.nai.com/vil/content/v_128306.htm[/url])
Troj/Banker-AK ([url]http://www.sophos.com/virusinfo/analyses/trojbankerak.html[/url])
Worm.Win32.Zusha.a ([url]http://protection.net.ru/item/w32-hllw-zusha[/url])
....
Короче говоря, отключение и переконфигурация встроенного Firewall - давно применяемася методика, как правило используемая наряду с остановкой процессов антивирусов и Firewall
