Показано с 1 по 4 из 4.

Возможность обхода встроенного файрволла Windows

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3166

    Возможность обхода встроенного файрволла Windows

    Возможность обхода встроенного файрволла Windows

    Как пишет Jay Calvert из HabaneroNetworks.com, им обнаружена возможность обхода защиты, применяемого в ОС Windows при помощи встроенного в эту ОС файрволла ICF. Для этого, якобы, достаточно добавить новый ключ в ветвь рееестра

    HKEY_LOCAL_MACHINE/SYSTEM/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications/List.

    При это возникает возможность обхода ограничений, накладываемых ICF (в том числе и на сетевые приложения). Тем не менее, как замечают автору в списке рассылки Bugtraq, полный доступ к данной ветви доступен только для системных эккаунтов SYSTEM и Administrators, остальным пользователям эта ветвь доступна только для чтения. Однако уже появился тип шпионского ПО (spyware) "(Интересно какие?)", который использует эту "особенность", создавая (при помощи использования одной из уязвимостей) эккаунт в группе Администраторов и потом создавая ключ, который позволяет обходить файрволл. Также отмечается, что это "особенность дизайна" разработчиков сами_знаете_какой_ОС.

    Подробности http://habaneronetworks.com/viewArticle.php?ID=144

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387

    Re:Возможность обхода встроенного файрволла Windows

    Цитата Сообщение от SDA
    Возможность обхода встроенного файрволла Windows

    Как пишет Jay Calvert из HabaneroNetworks.com, им обнаружена возможность обхода защиты, применяемого в ОС Windows при помощи встроенного в эту ОС файрволла ICF. Для этого, якобы, достаточно добавить новый ключ в ветвь рееестра ......
    Эта "уязвимость" мне известна с момента появления ICF, только я считал это особенностью реализации (я изучал эту особенность с точки зрения автоматизации настройки Firewall на множестве ПК по определенному шаблону).
    Ключ реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\Parameters\FirewallPolicy хранит все настройки ICF, в частности в ...\FirewallPolicy\StandardProfile есть параметр EnableFirewall, который хранит статус Firewall (0-запрещен, 1-включен), что позволяет любой программе отключить Firewall. Там-же параметр DoNotAllowExceptions управляет разрешением/запретом исключений.
    Ключ ...\FirewallPolicy\StandardProfile\AuthorizedAppli cations содержи список приложений, имеющих персональные настройки. Имя параметра в этом ключе равно полному имени приложения, значение кодирует настройку (там очень простой принцип, текстовая строка с настройкой). Пример:
    C:\Program Files\Far\Far.exe = C:\Program Files\Far\Far.exe:Enabled:File and archive manager - разрешение программе FAR работать с сетью и Инет
    Ключ ... FirewallPolicy\StandardProfile\GloballyOpenPorts содержит список "Глобально открытых портов", т.е. портов, прослушивание которых разрешено и по которым разрешен прием пакетов из заданной зоны (или с заданных адресов). Пример:
    445:TCP=445:TCPocalSubNet:Enabled:@xpsp2res.dll,-22005 - разрешение входящих соединений из зоны адресов "локальная сеть" по порту TCP 445

    Короче говоря, это "уязвимость", аналогичная ключам реестра с настроками страницы поиска, префиксов протокола ... браузера - любая программа может покорежить эти настройки. Методика борьбы - ограничение доступа к данным ключам реестра путем настройки привилегий. По умолчанию права на этот ключ имеют система и члены группы "Администраторы"

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3166

    Re:Возможность обхода встроенного файрволла Windows

    Я так понимаю, что это касается и встроенного фаервола в XP сервис пак 2?
    И интересно, что за вид спайваре(или трояны) использует эту "особенность", создавая (при помощи использования одной из уязвимостей) эккаунт в группе Администраторов и потом создавая ключ, который позволяет обходить файрволл.

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387

    Re:Возможность обхода встроенного файрволла Windows

    Цитата Сообщение от SDA
    Я так понимаю, что это касается и встроенного фаервола в XP сервис пак 2?
    И интересно, что за вид спайваре(или трояны) использует эту "особенность", создавая (при помощи использования одной из уязвимостей) эккаунт в группе Администраторов и потом создавая ключ, который позволяет обходить файрволл.
    Примеры:
    Worm.Win32.Mydoom.ah (http://www3.ca.com/securityadvisor/v....aspx?id=41540)
    BackDoor-CIO (http://vil.nai.com/vil/content/v_128306.htm)
    Troj/Banker-AK (http://www.sophos.com/virusinfo/anal...jbankerak.html)
    Worm.Win32.Zusha.a (http://protection.net.ru/item/w32-hllw-zusha)
    ....
    Короче говоря, отключение и переконфигурация встроенного Firewall - давно применяемася методика, как правило используемая наряду с остановкой процессов антивирусов и Firewall

Похожие темы

  1. Хакерами доработан способ обхода активации Windows Vista
    От SDA в разделе Новости компьютерной безопасности
    Ответов: 17
    Последнее сообщение: 24.01.2007, 13:33

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01613 seconds with 16 queries