Текущий архив: 2005.01.23;
Скачать: CL | DM;
Вниз
Бреш в файрволлах!!! Найти похожие ветки
← →
YurikGL © (2005-01-05 07:59) [0]http://www.bezpeka.com/news/2005/01/0401.html
Обнаружена уязвимость во многих персональных межсетевых экранах. Злоумышленник может обойти ограничения безопасности и выполнить произвольные действия на уязвимой системе.
Уязвимые программы: ZoneAlarm / ZoneAlarm Pro версии до 5 ветки, Kerio все версии, Agnitium Outpost Firewall все версии, Kaspersky Anti-Hacker все версии, Look "n" Stop все версии, Symantec"s Norton Personal Firewall все версии, Panda Platinum Internet Security все версии, Omniquad Personal Firewall все версии. Опасность: высокая, существует эксплоит.
Уязвимость обнаружена в приложениях, которые используют ярлыки или предоставляют графический интерфейс для изменения текущих настроек межсетевого экрана и не запрашивают ввод пароля. Злоумышленник может с помощью троянской программы или другого приложения, способного использовать "Sending Key Method" и "Mouse Control Method", обойти ограничения безопасности.
Большинство файрволов используют опцию запоминания настроек и автоматически генерируют соответствующие правила, что позволяет злоумышленнику лишь однократно использовать эту уязвимость.
ZoneAlarm версии 5 уязвимости не подвержен.
По материалам: http://www.securitylab.ru.
← →
kaZaNoVa © (2005-01-05 08:35) [1]YurikGL © (05.01.05 7:59)
если юзер работает с правами админа - то эта уязвимость НЕ ИМЕЕТ СМЫСЛА, так,как всегда настройка фаерволла тогда можно прямо из реестра изменить, так что имхо это не очень опасная уязвимость :)))
//я например пару более опасных уязвимостей в фаерволлах знаю, точнее как их обойти :))
← →
kaZaNoVa © (2005-01-05 08:39) [2]YurikGL © (05.01.05 7:59)
> Злоумышленник может с помощью троянской программы или
> другого приложения, способного использовать "Sending
> Key Method" и "Mouse Control Method", обойти
> ограничения безопасности.
A311Death просто "корректирует" HKLM ветку с настройками и на пароль фаерволла (если он даже есть) не обращает внимания :)))
> ZoneAlarm версии 5 уязвимости не подвержен.
очень интересно ......
но я пока свой Outpost на него не променяю :))
← →
AlterEgo of WondeRu © (2005-01-05 08:40) [3]kaZaNoVa © (05.01.05 8:35) [1]
я например пару более опасных уязвимостей в фаерволлах знаю, точнее как их обойти
если сисадмин - дефка, то можно на ней НЛП потестить... тока антивирусами (резинками), Хакер, не забывай пользоваться!)
← →
kaZaNoVa © (2005-01-05 08:43) [4]AlterEgo of WondeRu © (05.01.05 8:40) [3]
> то можно на ней НЛП потестить
хорошо что напомнил:)))
надо будет попрактиковаться;))))))
> тока антивирусами (резинками), Хакер, не забывай
> пользоваться!)
хех =))
по сабжу любой "троян на заказ" НИКОГДА не определится не одним антивурусом, так,как написан на заказ и антивири не знают о нем, НО в настоящее время, в связи с промышленным, корпорационным шпионажем, именно трои на заказ представляют ИМХО наибольшую угрозу ...
← →
AlterEgo of WondeRu © (2005-01-05 08:46) [5]kaZaNoVa © (05.01.05 8:43) [4]
"троян на заказ" НИКОГДА не определится не одним антивурусом
антивирус (любой) определяет только многотиражки! мои вирусы он не определяет!!!
← →
kaZaNoVa © (2005-01-05 08:55) [6]AlterEgo of WondeRu © (05.01.05 8:46) [5]
класс !!!
мои - тоже нет :))
//хотя именно вирусы я никогда не писал, так, "спец-проги" (немного похожие на троянчиков) =)
← →
AlterEgo of WondeRu © (2005-01-05 08:58) [7]kaZaNoVa © (05.01.05 8:55) [6]
гы) тогда можно и померяться)))
в моем активе: ДОС-вирусы, антивирусы (практически любые) + драйвер для фильтрации IP-трафика, типа фаервола, "легким движением руки" переделываемый в сниффер!))) все конечно же на асме
← →
kaZaNoVa © (2005-01-05 09:02) [8]AlterEgo of WondeRu © (05.01.05 8:58) [7]
круто, тогда я проиграю, у меня 3 трояна, 1 кейлоггер и 5 прог-приколов + 10 мелких спец-утилит - всё на делфи+КОЛ+FSG :))))
← →
AlterEgo of WondeRu © (2005-01-05 09:08) [9]kaZaNoVa © (05.01.05 9:02) [8]
наврядли!))) я уже не помню как он работают - два года уже прошло!!! скоро мой сайт будет переделан, там выложу все исходники антивирусов, вирусов, драйвером и т.п. мути, тока напомни мне попозже, чтоб я им занялся)))
← →
kaZaNoVa © (2005-01-05 09:12) [10]kaZaNoVa © (05.01.05 8:55) [6]
kaZaNoVa © (05.01.05 9:02) [8]
ой, я что-то "заболтался", ща из "Р" придут .. =((
- на всякий случай, я все свои стер FARом по ALT+DEL - Wipe режим, хех =)
а по сабжу, имхо нет надёжного фаерволла имхо, от прог "изнутри" - всегда так или иначе можно обойти:)
← →
AlterEgo of WondeRu © (2005-01-05 09:20) [11]kaZaNoVa © (05.01.05 9:12) [10]
ща из "Р" придут
насколько мне известно, а поверьте я сними и ОБЭПовцами знаком не по наслышке - довольно продажные люди, особенно всяки инспекторы!
← →
uny © (2005-01-05 09:21) [12]тут на сайт один зашёл, так там -
вопрос = "на том компьютере троян, но он запоролен!"(троян) - что делать
ответ = попробуй то и то, для таких то троянов помогает
это хороший тон - пароли туда ставить?)
← →
kaZaNoVa © (2005-01-05 09:49) [13]uny © (05.01.05 9:21) [12]
> о хороший тон - пароли туда ставить?)
да, иначе нельзя ;)
← →
250 (2005-01-05 11:37) [14]По материалам ZoneAlarm ? :)
← →
Murkt © (2005-01-05 12:47) [15]во-первых,
> По материалам: http://www.securitylab.ru
очень уважаемая контора, да.
А во-вторых - описанная дырка никаким образом дыркой не является. Если у тебя есть админский доступ к компу (хоть троянцем, хоть чем), какой толк от того фаерволла.
Бред, короче.
← →
kaZaNoVa © (2005-01-05 14:34) [16]Murkt © (05.01.05 12:47) [15]
> А во-вторых - описанная дырка никаким образом дыркой
> не является. Если у тебя есть админский доступ к компу
> (хоть троянцем, хоть чем), какой толк от того
>фаерволла.
>
> Бред, короче.
100% согласен!!!
но там наверное имели ввиду если простой юзер может изменить настройки фаерволла ..
← →
Piter © (2005-01-05 19:14) [17]kaZaNoVa © (05.01.05 8:43) [4]
по сабжу любой "троян на заказ" НИКОГДА не определится не одним антивурусом
есть же эвристический анализ. Самое простое можно и самому написать. Например, если программа экспортирует CreateRemoteThread, ImageDirectoryEntryToData, WriteProcessMemory - то можно задуматься, а что такого она делает, что ей нужны эти функции?
← →
AlterEgo of WondeRu © (2005-01-05 20:18) [18]Piter © (05.01.05 19:14) [17]
CreateRemoteThread, ImageDirectoryEntryToData, WriteProcessMemory
эти функции можно и вызвать сразу, напрямую, www.wasm.ru!!! тогда никто ничего не догодается! А Керк мне умную мысль подкинул насчет того, что хорошая эвристика антивирусным программам не выгодна!
← →
kaZaNoVa © (2005-01-05 20:28) [19]Piter © (05.01.05 19:14) [17]
> есть же эвристический анализ
он ОЧЕНЬ слаб !!!!
> CreateRemoteThread, ImageDirectoryEntryToData,
> WriteProcessMemory
а вот я когда писал "прогу" - эти функции НЕ юзал :)))))))
Страницы: 1 вся ветка
Текущий архив: 2005.01.23;
Скачать: CL | DM;
Память: 0.52 MB
Время: 0.031 c
