-
Возможность обхода встроенного файрволла Windows
Возможность обхода встроенного файрволла Windows
Как пишет Jay Calvert из HabaneroNetworks.com, им обнаружена возможность обхода защиты, применяемого в ОС Windows при помощи встроенного в эту ОС файрволла ICF. Для этого, якобы, достаточно добавить новый ключ в ветвь рееестра
HKEY_LOCAL_MACHINE/SYSTEM/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications/List.
При это возникает возможность обхода ограничений, накладываемых ICF (в том числе и на сетевые приложения). Тем не менее, как замечают автору в списке рассылки Bugtraq, полный доступ к данной ветви доступен только для системных эккаунтов SYSTEM и Administrators, остальным пользователям эта ветвь доступна только для чтения. Однако уже появился тип шпионского ПО (spyware) "(Интересно какие?)", который использует эту "особенность", создавая (при помощи использования одной из уязвимостей) эккаунт в группе Администраторов и потом создавая ключ, который позволяет обходить файрволл. Также отмечается, что это "особенность дизайна" разработчиков сами_знаете_какой_ОС.
Подробности http://habaneronetworks.com/viewArticle.php?ID=144
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Re:Возможность обхода встроенного файрволла Windows
Сообщение от
SDA
Возможность обхода встроенного файрволла Windows
Как пишет Jay Calvert из HabaneroNetworks.com, им обнаружена возможность обхода защиты, применяемого в ОС Windows при помощи встроенного в эту ОС файрволла ICF. Для этого, якобы, достаточно добавить новый ключ в ветвь рееестра ......
Эта "уязвимость" мне известна с момента появления ICF, только я считал это особенностью реализации (я изучал эту особенность с точки зрения автоматизации настройки Firewall на множестве ПК по определенному шаблону).
Ключ реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\Parameters\FirewallPolicy хранит все настройки ICF, в частности в ...\FirewallPolicy\StandardProfile есть параметр EnableFirewall, который хранит статус Firewall (0-запрещен, 1-включен), что позволяет любой программе отключить Firewall. Там-же параметр DoNotAllowExceptions управляет разрешением/запретом исключений.
Ключ ...\FirewallPolicy\StandardProfile\AuthorizedAppli cations содержи список приложений, имеющих персональные настройки. Имя параметра в этом ключе равно полному имени приложения, значение кодирует настройку (там очень простой принцип, текстовая строка с настройкой). Пример:
C:\Program Files\Far\Far.exe = C:\Program Files\Far\Far.exe
:Enabled:File and archive manager - разрешение программе FAR работать с сетью и Инет
Ключ ... FirewallPolicy\StandardProfile\GloballyOpenPorts содержит список "Глобально открытых портов", т.е. портов, прослушивание которых разрешено и по которым разрешен прием пакетов из заданной зоны (или с заданных адресов). Пример:
445:TCP=445:TCP
ocalSubNet:Enabled:@xpsp2res.dll,-22005 - разрешение входящих соединений из зоны адресов "локальная сеть" по порту TCP 445
Короче говоря, это "уязвимость", аналогичная ключам реестра с настроками страницы поиска, префиксов протокола ... браузера - любая программа может покорежить эти настройки. Методика борьбы - ограничение доступа к данным ключам реестра путем настройки привилегий. По умолчанию права на этот ключ имеют система и члены группы "Администраторы"
-
-
Re:Возможность обхода встроенного файрволла Windows
Я так понимаю, что это касается и встроенного фаервола в XP сервис пак 2?
И интересно, что за вид спайваре(или трояны) использует эту "особенность", создавая (при помощи использования одной из уязвимостей) эккаунт в группе Администраторов и потом создавая ключ, который позволяет обходить файрволл.
-
-
Re:Возможность обхода встроенного файрволла Windows
Сообщение от
SDA
Я так понимаю, что это касается и встроенного фаервола в XP сервис пак 2?
И интересно, что за вид спайваре(или трояны) использует эту "особенность", создавая (при помощи использования одной из уязвимостей) эккаунт в группе Администраторов и потом создавая ключ, который позволяет обходить файрволл.
Примеры:
Worm.Win32.Mydoom.ah (http://www3.ca.com/securityadvisor/v....aspx?id=41540)
BackDoor-CIO (http://vil.nai.com/vil/content/v_128306.htm)
Troj/Banker-AK (http://www.sophos.com/virusinfo/anal...jbankerak.html)
Worm.Win32.Zusha.a (http://protection.net.ru/item/w32-hllw-zusha)
....
Короче говоря, отключение и переконфигурация встроенного Firewall - давно применяемася методика, как правило используемая наряду с остановкой процессов антивирусов и Firewall
-
Ответить с цитированием
