ADSL-BC

[UBoot]

Pour info.

En résumé: vulnérabilité exploitable par d'éventuels programmes malicieux sur le PC protégé par le firewall - pas exploitable de "l'extérieur". Elle peut permettre de contourner la protection du FW par ces programmes.

Pas triviale à exploiter, mais reste quand même du domaine du concret.

Hello,

We would like to inform you about a vulnerability in personal firewalls and HIPS software.


Description:

Windows operating systems with NT kernel version 5.0 and higher (i.e. Windows 2000, XP, 2003) use integer numbers
divisible by four to identify processes. Internal implementation of system API functions also allows programmers to use
integers that are not divisible by four. This means that for every process running in the system there are four valid
identifiers.

The control of API functions, which work with process identifiers, like OpenProcess (usually implemented by SSDT hook of
NtOpenProcess), that assumes using identifiers divisible by four is insufficient. An implementation by a simple test on
equivalence between the internal personal firewall/HIPS database and the given identifier can be dangerous. In such
case, it is possible that a firewall misinterprets a call and allows an action that should be forbidden. If the security
software implements a process protection for critical processes in this manner, it is a critical bug, which can be
exploited to gain control over the whole system. Vulnerable products implements process protection, which can be
bypassed if identifiers not divisible by four are used.


Vulnerable software:

* Comodo Firewall Pro 2.4.18.184
* Comodo Personal Firewall 2.3.6.81
* ZoneAlarm Pro 6.1.744.001
* probably older versions of above mentioned products
* possibly other personal firewalls and HIPS software

Not vulnerable software:

* ZoneAlarm Pro 6.5.737.000 and higher


More details and a proof of concept including its source code are available here:
http://www.matousec.com/info/advisories/Bypassing-PWF-HIPS-open-process-control-with-uncommon-identifier.php


Regards,

--
Matousec - Transparent security Research
http://www.matousec.com/

[UBoot]

Bizarre... Le lien dans l'article ne fonctionne pas. Je vérifie.

Edit: lien corrigé.

[The Devil666]

Outpost Firewal a une protection contre ce genre d'attaque
Rootkits

Fonctionnement en mode de légitime défense
Depuis que les outils de protection contre les logiciels malveillants sont devenus plus efficaces, les pirates tentent maintenant de les désactiver en utilisant des rootkits ou d'autres outils avancés avant d'exécuter leurs propres actions non autorisées. Pour résister à cette menace,Outpost Firewall Pro ajoute une fonction nommée mode de légitime défense. Lorsque le mode de légitime défense est activé, Outpost Firewall Pro se protège contre sa propre fermeture par des virus, chevaux de Troie ou logiciels espions. Toutes les tentatives de simulation de frappes clavier d'un utilisateur, qui autrement conduirait à la fermeture du pare-feu, sont détectées et bloquées. Outpost Firewall Pro surveille en permanence ses propres composants sur le disque dur, entrées dans la base de registre, état de la mémoire, services en cours d'exécution, etc. Il interdit ainsi toute modification provenant d'applications malveillantes.

Par défaut, la légitime défense est activée. Pour la désactivez, cliquez sur le bouton Légitime défense dans la barre d'outils.

Remarque :


La désactivation de la légitime défense peut sévèrement influencer la sécurité globale du système. Sa désactivation est cependant nécessaire pour l'installation de plug-ins et autres fonctions avancées. Il doit alors être réactivé aussitôt que les modifications ont été effectuées.

et cette méthode fonctionne à merveille

[UBoot]

Je ne suis pas sûr, je ne sais pas, personellement.
Il faudrait un peu plus de détails sur la protection d'Outpost pour bien comprendre comment elle fonctionne.

D'une part, on parle d'appels à des fonctions via des APIs Windows, et d'autre part, pour Outpost, on parle d'empêcher de le fermer. Les APIs Windows permettent de faire plus que de fermer des applications. Difficile de juger avec le peu que j'en connais

Je suis étonné que dans le descriptif de cette vulnérabilité sur certains sites, ils parlent d'escalation de privilèges. Je peux comprendre que le FW manque à un de ses devoirs, mais je ne vois pas en quoi il rajouterait un risque par rapport à des APIs Windows qui existent sans lui, sans son installation.

[The Devil666]

Je ne suis pas sûr, je ne sais pas, personellement.
Il faudrait un peu plus de détails sur la protection d'Outpost pour bien comprendre comment elle fonctionne.

D'une part, on parle d'appels à des fonctions via des APIs Windows, et d'autre part, pour Outpost, on parle d'empêcher de le fermer. Les APIs Windows permettent de faire plus que de fermer des applications. Difficile de juger avec le peu que j'en connais

Je suis étonné que dans le descriptif de cette vulnérabilité sur certains sites, ils parlent d'escalation de privilèges. Je peux comprendre que le FW manque à un de ses devoirs, mais je ne vois pas en quoi il rajouterait un risque par rapport à des APIs Windows qui existent sans lui, sans son installation.

Si des APIs sont capable de modifier certaint programme ou de faire "executer" une fonction non autorisée, ca peux CERTAINEMENT fonctioner pour effectuer la fermeture d'un Firewal ou d'un Antivirus..(Rootkits)

Car la plupart des Virus +- Mechant si ils infectent la machine ils tentent de désactiver les parfeux et les antivirus, donc d'effectuer "leurs fermetures" d'ou la protection de Outpost et de NOD32 AV par exemple....


http://www.agnitum.fr/ (Outpost)

[Claude_G]

Not vulnerable software:

* ZoneAlarm Pro 6.5.737.000 and higher

Il suffit d'avoir la bonne version, et hop !

[UBoot]

D'accord. Mais si le trojan ne tentait pas de fermer le FW personnel, et tentait plutôt de le contourner? Je ne connais pas assez pour savoir juger ce qui est possible ou non.

Si des APIs sont capable de modifier certaint programme ou de faire "executer" une fonction non autorisée, ca peux CERTAINEMENT fonctioner pour effectuer la fermeture d'un Firewal ou d'un Antivirus..(Rootkits)

Car la plupart des Virus +- Mechant si ils infectent la machine ils tentent de désactiver les parfeux et les antivirus, donc d'effectuer "leurs fermetures" d'ou la protection de Outpost et de NOD32 AV par exemple....


http://www.agnitum.fr/ (Outpost)

[The Devil666]

D'accord. Mais si le trojan ne tentait pas de fermer le FW personnel, et tentait plutôt de le contourner? Je ne connais pas assez pour savoir juger ce qui est possible ou non.

Si des APIs sont capable de modifier certaint programme ou de faire "executer" une fonction non autorisée, ca peux CERTAINEMENT fonctioner pour effectuer la fermeture d'un Firewal ou d'un Antivirus..(Rootkits)

Car la plupart des Virus +- Mechant si ils infectent la machine ils tentent de désactiver les parfeux et les antivirus, donc d'effectuer "leurs fermetures" d'ou la protection de Outpost et de NOD32 AV par exemple....


http://www.agnitum.fr/ (Outpost)

oui c'est faisable de tenter de contourner
mais certaint parfeux utilise une protection du style (Modification de la memoire afin d'executer un code specifique) le parfeux pourrais la detectée et bloquer le programme en question......

mais bon je ne dis pas que mon parfeux est 100 % Invulnérable, je sais qu'il a de nombreux systeme de protection pour contrer ce genre de faille.

au final je ne me suis jamais amuser a effectuer des simulations, contournement pour en voir les effets, je sais que par exemple si je tente de moficier un fichier de configuration ou tous autre fichier du parfeux, (Nettoyage de la base de registre) l'application est bloquée par celui ci

[Stellair]

C'est plutôt les trojans qui essayent de fermer les firewall et AV que les virus.

[The Devil666]

C'est plutôt les trojans qui essayent de fermer les firewall et AV que les virus.

Exacte et je suis d'accord avec toi, mais la phrase est souvent decrite lors d'une infection possible que le Virus pourrais effectivement tenter d'effectuer une fermeture du Parfeux et de l'antivirus et de bloquer l'acces a certaint site connus pour effectuer un nettoyage, voir completement bloquer l'acces au page web en altérant le winsock par exemple.....