תהנו.
ראשי > אבטחת מידע > באגים בפייר וולים (קולקשיין)..
זה באג יחסית חדש, הבאג הוא בפייר וול של Symentec - Norton Internet Security, ולכן הוא גם על:
Symentec -Norton Personal Firewall (או בוורציאה אחרת שלו: Client Firewall / Client Security)
הבאג התגלה ע"י Barnaby Jack ,Karl Lynn, ו- Derek Soeder.
ניצול הבאג תוקע את המערכת הפעלה שעליה מריצים את הפייר וול, (חלק מהמערכות יעשו לעצמן Reboot, אבל זה כבר תלוי במערכת ובהגדרות שלה).
הבאג הוא מסוג Buffer overflow, צריך לשלוח יותר 40 בייטים של מידע בפורט שהפייר וול מקשיב לו באותו זמן (לרב, הדפולט הוא 53 בUDP) המידע נשמר בSYMDNS שנמצא (כמובן) בSYMDNS.SYS
.
houseofdabus, הוציאו לזה אקספלויט שעושה את כל הדברים שצריכים מסביב (למצוא את המידע בההדר של הDNS, למצוא את המידע בההדר של הIP, המידע הUDP וכו' וכו' וכו') וגם שולח את המידע בסוף.
אני ממליץ למי שיודע C לקרוא את האקספלויט, אני אישית מאוד אהבתי אותו (למרות שלקח לי להבין אותו דווקא די הרבה זמן).
http://www.k-otik.com/exploits/05142004.HOD-symantec-firewall-DoS-expl.c.php
יאללה, שבת נכנסת, אני זזתי, תהנו.
הבאג עדיין עובד ולא יצא לבאג תיקון(למרות שאפשר לתקן את הבאג בקלות)
כתבה על הבאג
RAE)-Remote Administration Engine) דרך פורט 7323, פשוט היה צריך להתחבר לאותו מחשב בפורט7323 שהיה פתוח על אותו מחשב, ולתת פקודות לפייר וול.
(Telnet <Host> 7323)
הבאג היה קיים בגירסת הסייגט לWin95/98 ועל לNT 4.0.
בכל אופן, בסוף שנת 2001 (כמה זמן אחרי שאינדיגו הוציא את האקספלויט) צ'קפויינט תיקנו את הבאג הזה.
האקספלויט:
http://www.securiteam.com/exploits/6V00W0035K.html
(telnet <Host> 261)
בכל אופן, היה אפשר להשתיק ככה את כל המחשבים שהיו מריצים את הפייר וול
(פשוט לחסום כל מידע שנכנס או יוצא..), זאת לא הייתה בדיוק התקפת DoS, אבל עדיין, זה היה מונע גישה =)
תיראה, הבאג ההוא מדמה אישור לוקאלי, הוא פשוט מזיז את העכבר עד לכפתור ולוחץ ואז שוב וככה הוא מאשר, כדי לחסום דבר כזה, אז כשאתה מתכנת את הפייר וול (בונה אותו) אתה צריך לשים תיבת טקסט (למה לעזאזל אני מדבר במושגים של VB..) שתבקש סיסמא, ורק אם היא נכונה אז יהיה אפשר לקנפג את הפייר וול.
ו cp זה לא הזזת לחצן העכבר זה גם מדמנ מקשי מקלדת
וכן, BB, קראתי את הקוד עוד אז, כשפרסמת את זה...
הבאג היה בגירסאות 2.0.26 וב-2.1.10, ותיקנו אותו רק ב2.1.18 ומעלה.
השאלה לי אליך היא באיזה גירסה תיקנו את זה?
והאם זה יכול לעבוד על הנורטון שלי שהוא 2003 ולא 2004 ...
דרך הגב הקוד מקור לא עובד..
הלינק נשבר...
והוא פועל ב 2003 אני לא יודע לגבי 2004 אבל נראה לי שזה אמור לפעול גם עליו
הוציאו לזה תיקון ......
זה עכשיו כ hacktool באנטי וירוס .....
וזה לא פועל יותר על ה firewall אין לי מושג מה הם עשו......
כנראה הם התייחסו לזה רק אחרי שכתבתי על הבאג ב
http://www.securityfocus.com
הנה לינק ישיר:
http://www.securityfocus.com/archive/82/332573
- BoyBear בתאריך 19.08.03
זה מה שאתה כתבת בתגובות באתר בינארי ויזיון...
הם תיקנו את הבאג ושמו את הקובץ כ hacktool באנטי וירוס....
ואז לאחר בערך חודשיים רציתי לכתוב על זה ב ynet ואז הלכתי לקוד מקור(כל הקבצי exe בגלל האנטי וירוס אז רציתי לקפל שוב..)
קיפלתי מחדש את הקובץ וראיתי שהאנטי וירוס לא מוחק אותו יותר....אז חשבתי סתם בטח טעות...אז הפעלתי את הקובץ וראיתי שהבאג עדיין עובד.....
דרך אגב חשבתי על זה מאוד קשה לתקן את הבאג הזה.....
כי בכל דרך אתה יכול להפעיל קובץ אחר שיגרום לנטרול ההודעה....
לדוגמא כמו התמונה שהצענו אז אפשר לעשות קובץ שיקלוט לפי הפיסקלים מה כתוב בתמונה ואז יכתוב אותו ....
זה רק דוגמא אפשר לעשות דברים יותר מתוחכמים...
אבל אם למשל, זה לא יהיה תמונת סיסמא, אלה סיסמא שאתה מקבל במייל, וכל פעם אתה צריך למלא מחדש, (לאו דווקא מקבל במייל, גם למשל סיסמא, שכשאתה מתקין את האנטי וירוס/פייר וול, אתה קובע אותה..)
ככה הבאג יתוקן.
זה מלא עבודה..
גם לרשום סיסמא מתמונה ..
זה ממש מעצבן ...
למזלנו הבאג לא כזה מוכר ככה שלא תוקפים איתו (אולי אני טועה)
אז לדעתי אם האנטי וירוס לא ימחק אותו אז הוא יעבוד תמיד כי הם לא יכניסו סיסמא בתמונה ...
זה גם מאוד שימושי.
בפייר וול הזה, יש אפשרות של חסימת סקריפטים מדפי HTML.
בגירסא 3.0, היה באג, שאם הייתה שם ">" לפני ההצהרה של השימוש למשל בג'וואה סקריט, אז הפייר וול לא היה חוסם את הסקריפט, למשל היית כותב עמוד HTML עם הקוד:
<HTML>
<HEAD>
<<SCRIPT LANGUAGE="JavaScript">
alert("Sup?")
</SCRIPT>
</HEAD>
<BODY>
bla bla
</BODY>
</HTML>
(שימו לב ל">" לפני ההצהרה).
אז זה ההודעת אלרט הייתה עוברת את החסימה.
תיקנו את הבאג הזה ישר בגירסא שיצאה אחריו.
עריכה:
שוב- הקוד יצא הפוך.
[נערך על-ידי cp77fk4r בתאריך 2004/06/01 11:16]
כדי שנורטון לא תזהה אותו.
כמובן שזו דרך מאוד מסורבלת וארוכה.
כמובן, כל מה שאמרתי קיים רק אם אין באג מסויים שתנצל באותו הפייר וול כדי לאפשר למידע להשלח בלי שהפייר וול יעצור אותו.
אם אתה מכיר איזה באג שקיים שנורטון או כל פייר וול אחר שמאפשר לשלוח מידע דרך פורט לא מוגדר נשמח אם תשתף אותנו.
את מה שסיפרת ידעתי. הקטע שבאמת לא היה מובן לי, מה איך ולמה צריך לשנות דברים דרך ההאקס אדיטור.
יש בידיי כרגע טרויאני שנבנה על בסיס טרויאני מוכר אך הפכו אותו לבלתי מזוהה ע"י נורטון.
מסיבות אישיות אני לא מוכנה לחלוק אותו עם הרבה אנשים אבל אני יכולה לשלוח לך ושתבדוק במה מדובר.
ותראי, יש אפשרות לקווץ חלקים מהסורס של הHex וככה הקובץ גם יהיה יותר קטן וגם יהיה אפשר להריץ אותו (הוא ישאר Exe), וככה האנטי וירוסים לא מזהיים אותו כאותו וירוס, כי זה בכל זאת משנה את הקוד שלו, זה מעין קיבוץ שעדיין קריא, לא כמו למשל Zip שהופך את הקובץ ללא קריא וכדי להריץ אותו או לקרוא ממנו צריך לפתוח את הקיווץ.
אבל עדיין, האנטי וירוס לא יזהה אותו כוירוס, והוא יוכל לשבת על המחשב ולאסוף מידע (אם הוא בנוי גם כKeyLogger), אבל עדיין, כשהוא ינסה ליצור קשר עם השולח הוא יהיה חייב לפתוח יציאה מסויימת, עם הפייר וול שעל המחשב לא הגדיר את הפורט כ"חוקי" אז לא משנה איך הטרויאן יהיה בנוי, הוא לא יוכל ליצור קשר עם העולם החיצון / סייבר ספייס / נט וכו'.
יש מבינה? :)
[נערך על-ידי cp77fk4r בתאריך 2004/06/02 14:19]
תודה.
אז אני אנסה לברר מה זה באמת- מה שקוראים אותו חתימה של נורטון.
והטרויאני הזה כן עובד
ועובד מצוין
Norton Internet Securty 2003
לפעמים הוא מנתק את הסופר יוזר והפיירול לא עולה
או שבתחילת המחשב הוא לא עולה כמו שאמור לעלות
אני ישמח לשמוע איך זה עוקף את הנורטון ..
תודה.
error_651 (מה השם?), גם אני אשמח אם תסבירי על הבאג שזה מנצל.
תודה.
ראיתי שיש באג שהנורטון אנטי וירוס לא יכול לסרוק אותו או משהו כזה ?
אני ינסה לחפש מידע..