ארכיון רד-בורד: באגים בפייר וולים (קולקשיין)..

2004-05-28 18:41 cp77fk4r

אוקיי, אחרי הצעות ודיסקוסים אני פותח את הנושא הזה, כמו קודם- כל אחד ישתף אותנו בחורי אבטחה שהוא מכיר את, הפעם בחרנו נושא מעניין- פייר וולים, כל החורים בכל סוגי הפייר וולים שהוא מכיר.

תהנו.

2004-05-28 18:55 cp77fk4r

אוקיי, אני אתחיל עם זה (ההודעה האחרונה שלי להיום).

זה באג יחסית חדש, הבאג הוא בפייר וול של Symentec - Norton Internet Security, ולכן הוא גם על:
Symentec -Norton Personal Firewall (או בוורציאה אחרת שלו: Client Firewall / Client Security)

הבאג התגלה ע"י Barnaby Jack ,Karl Lynn, ו- Derek Soeder.

ניצול הבאג תוקע את המערכת הפעלה שעליה מריצים את הפייר וול, (חלק מהמערכות יעשו לעצמן Reboot, אבל זה כבר תלוי במערכת ובהגדרות שלה).

הבאג הוא מסוג Buffer overflow, צריך לשלוח יותר 40 בייטים של מידע בפורט שהפייר וול מקשיב לו באותו זמן (לרב, הדפולט הוא 53 בUDP) המידע נשמר בSYMDNS שנמצא (כמובן) בSYMDNS.SYS
.

houseofdabus, הוציאו לזה אקספלויט שעושה את כל הדברים שצריכים מסביב (למצוא את המידע בההדר של הDNS, למצוא את המידע בההדר של הIP, המידע הUDP וכו' וכו' וכו') וגם שולח את המידע בסוף.

אני ממליץ למי שיודע C לקרוא את האקספלויט, אני אישית מאוד אהבתי אותו (למרות שלקח לי להבין אותו דווקא די הרבה זמן).

http://www.k-otik.com/exploits/05142004.HOD-symantec-firewall-DoS-expl.c.php

יאללה, שבת נכנסת, אני זזתי, תהנו.

2004-05-29 22:54 BoyBear

אפשרות ליצירת סוס טוריוני שה Norton לא מזהה
הבאג עדיין עובד ולא יצא לבאג תיקון(למרות שאפשר לתקן את הבאג בקלות)
כתבה על הבאג

2004-05-29 23:19 cp77fk4r

באג טפשי בפייר וול של Sygate, היה אפשר לקנפג את הפייר וול מרחוק, ע"י אפשרות בשם
RAE)-Remote Administration Engine) דרך פורט 7323, פשוט היה צריך להתחבר לאותו מחשב בפורט7323 שהיה פתוח על אותו מחשב, ולתת פקודות לפייר וול.

(Telnet <Host> 7323)

הבאג היה קיים בגירסת הסייגט לWin95/98 ועל לNT 4.0.

2004-05-30 04:06 cp77fk4r

באג בפייר וול Firewall-1 (הפייר וואל של Checkpoint), הבאג היה מאפשר גישת ShellCode למערכת (גישת Root), הבאג היה מסוג Buffer OverFlow, בפייר וואל הזה, יש אפשרות של גישה גראפית גם מרחוק (התחברות מפורט מוגדר ממחשב אחר (היה צורך בסיסמה) היה מקפיץ חלון של הפייר וול שהיה מאפשר לקנפג אותו מרחוק, משהו כמו Admin tool בשביל בעל הפייר וול), באותו ישום היה אפשר להחדיר סטרינג ענקי שפשוט היה מדלג על הקטע של הבדיקת סיסמה ומאפשר לשלוח פקודות למערכת, אחרי כמה זמן תיקנו את הבאג הזה (בערך באמצע שנת 2000) ואז מישהו בשם/כינוי Indigo מצא דרך נוספת לנצל את הבאג הזה שמאפשרת אפשרות של שליחת פקודות שהיו ניראות כמו הפקודות של הממשק הגראפי הזה אבל בעצם היו מופנות למערכת עצמה, האקספלויט הנפוץ אז, היה פשוט מנצל את הבאג ומקפיץ חלון שאלל מהמערכת ונותן לך לבצע את הפקודות (לא מצאתי את זה כתוב, אבל אם אני זוכר טוב, הייתה לזה הגבלת זמן שלא הצליחו לסדר, אבל אני לא בטוח..)

בכל אופן, בסוף שנת 2001 (כמה זמן אחרי שאינדיגו הוציא את האקספלויט) צ'קפויינט תיקנו את הבאג הזה.

האקספלויט:
http://www.securiteam.com/exploits/6V00W0035K.html

2004-05-30 04:18 cp77fk4r

ועוד באג שהיה קיים בגירסאת ה3.0 ומ4.1 ועד 4.3, פשוט היה צריך לטלנט לקרובן שמריץ את הפייר וול הזה בפורט 261, והיית מקבל איזה באנר נחמד כזה עם הסיסמא של הפייר וול (הממשק מרחוק), אבל אז היית רק יכול להשיג גישה לקינפוג הפייר וול ולא למערכת עצמה.

(telnet <Host> 261)

בכל אופן, היה אפשר להשתיק ככה את כל המחשבים שהיו מריצים את הפייר וול
(פשוט לחסום כל מידע שנכנס או יוצא..), זאת לא הייתה בדיוק התקפת DoS, אבל עדיין, זה היה מונע גישה =)

2004-05-30 13:37 Sonik

BoyBear איך ניתן לתקן אותו?

2004-05-30 17:01 cp77fk4r

אפשר לעשות שכדי לאשר בקשת שליחת מידע/קבלת מידע מ/תוכנה מסויימת או סתם כדי לקנפג את הפייר וול בכל צורה שהיא אז יהיה צורך בסיסמא.

2004-05-30 19:33 Sonik

איפה אני יכול לקבוע סיסמא?

2004-05-30 20:06 cp77fk4r

כשאתה מתכנת את הפייר וול :)
תיראה, הבאג ההוא מדמה אישור לוקאלי, הוא פשוט מזיז את העכבר עד לכפתור ולוחץ ואז שוב וככה הוא מאשר, כדי לחסום דבר כזה, אז כשאתה מתכנת את הפייר וול (בונה אותו) אתה צריך לשים תיבת טקסט (למה לעזאזל אני מדבר במושגים של VB..) שתבקש סיסמא, ורק אם היא נכונה אז יהיה אפשר לקנפג את הפייר וול.

2004-05-30 21:54 BoyBear

אפשר או ע"י סיסמא או ע"י סיסמא בתמונה
ו cp זה לא הזזת לחצן העכבר זה גם מדמנ מקשי מקלדת

2004-05-30 22:20 cp77fk4r

נכון גם סיסמת תמונה זה רעיון טוב, פשוט כל דבר קצת יותר מסתם מגע של אדם.

וכן, BB, קראתי את הקוד עוד אז, כשפרסמת את זה...

2004-05-30 22:39 cp77fk4r

היה באג בפייר וול ZoneAlarm, שכשהיית יוצר טווח מסויים של פורטים שאותם אתה רוצה לחסום (בדרך הרגילה דרך הפייר וול) אז הפייר וול היה בכל אופן מאפשר לפאקטים של מידע לעבור דרך פורט 67 ולא היה מודיע על זה למשתמש, וכשהיו מנסים להתחבר להוסט דרך הפורט הזה, הייתה מקבל באנר יפה של ZoneLabs ואחרי כמה שניות החיבור היה מתנתק, אי אפשר היה לנצל את זה כדי להשיג גישה מסויימת אבל היה אפשר לזהות מחשבים שהיו מוגנים ע"י הפייר וול הזה, ולנסות לרכז את ההתקפות או דברים אחרים דווקא עליו.

הבאג היה בגירסאות 2.0.26 וב-2.1.10, ותיקנו אותו רק ב2.1.18 ומעלה.

2004-05-31 14:00 Dorown

אהבתי את הבאג של bb ממש רעיון נחמד :)
השאלה לי אליך היא באיזה גירסה תיקנו את זה?
והאם זה יכול לעבוד על הנורטון שלי שהוא 2003 ולא 2004 ...

דרך הגב הקוד מקור לא עובד..
הלינק נשבר...

2004-05-31 16:26 BoyBear

לא תיקנו את הבאג עדיין....
והוא פועל ב 2003 אני לא יודע לגבי 2004 אבל נראה לי שזה אמור לפעול גם עליו

2004-05-31 20:35 Dorown

אבל כתבת שהם כן תיקנו אותו ...

הוציאו לזה תיקון ......
זה עכשיו כ hacktool באנטי וירוס .....
וזה לא פועל יותר על ה firewall אין לי מושג מה הם עשו......
כנראה הם התייחסו לזה רק אחרי שכתבתי על הבאג ב
http://www.securityfocus.com
הנה לינק ישיר:
http://www.securityfocus.com/archive/82/332573
- BoyBear בתאריך 19.08.03

זה מה שאתה כתבת בתגובות באתר בינארי ויזיון...

2004-06-01 00:10 BoyBear

סיפור ארוך....
הם תיקנו את הבאג ושמו את הקובץ כ hacktool באנטי וירוס....
ואז לאחר בערך חודשיים רציתי לכתוב על זה ב ynet ואז הלכתי לקוד מקור(כל הקבצי exe בגלל האנטי וירוס אז רציתי לקפל שוב..)
קיפלתי מחדש את הקובץ וראיתי שהאנטי וירוס לא מוחק אותו יותר....אז חשבתי סתם בטח טעות...אז הפעלתי את הקובץ וראיתי שהבאג עדיין עובד.....

דרך אגב חשבתי על זה מאוד קשה לתקן את הבאג הזה.....
כי בכל דרך אתה יכול להפעיל קובץ אחר שיגרום לנטרול ההודעה....
לדוגמא כמו התמונה שהצענו אז אפשר לעשות קובץ שיקלוט לפי הפיסקלים מה כתוב בתמונה ואז יכתוב אותו ....
זה רק דוגמא אפשר לעשות דברים יותר מתוחכמים...

2004-06-01 00:16 cp77fk4r

יאפ', זה מה שהצעתי לעשות כפרוייקט, בכל תמונת סיסמא...

אבל אם למשל, זה לא יהיה תמונת סיסמא, אלה סיסמא שאתה מקבל במייל, וכל פעם אתה צריך למלא מחדש, (לאו דווקא מקבל במייל, גם למשל סיסמא, שכשאתה מתקין את האנטי וירוס/פייר וול, אתה קובע אותה..)

ככה הבאג יתוקן.

2004-06-01 01:55 Dorown

אבל למי יהיה זין לבדוק בemail לסיסמא וכאלה דברים ?
זה מלא עבודה..
גם לרשום סיסמא מתמונה ..
זה ממש מעצבן ...

למזלנו הבאג לא כזה מוכר ככה שלא תוקפים איתו (אולי אני טועה)

אז לדעתי אם האנטי וירוס לא ימחק אותו אז הוא יעבוד תמיד כי הם לא יכניסו סיסמא בתמונה ...

2004-06-01 11:09 cp77fk4r

אני דווקא חושב שזה יהיה ממש מעניין לבנות תוכנה שכזאת, לכן הצעתי את זה כפרוייקט.
זה גם מאוד שימושי.

2004-06-01 11:15 cp77fk4r

עוד באג בפיירוול של צ'קפויינט: Firewall-1.

בפייר וול הזה, יש אפשרות של חסימת סקריפטים מדפי HTML.

בגירסא 3.0, היה באג, שאם הייתה שם ">" לפני ההצהרה של השימוש למשל בג'וואה סקריט, אז הפייר וול לא היה חוסם את הסקריפט, למשל היית כותב עמוד HTML עם הקוד:

<HTML>
<HEAD>
<<SCRIPT LANGUAGE="JavaScript">
alert("Sup?")
</SCRIPT>
</HEAD>
<BODY>
bla bla
</BODY>
</HTML>

(שימו לב ל">" לפני ההצהרה).

אז זה ההודעת אלרט הייתה עוברת את החסימה.

תיקנו את הבאג הזה ישר בגירסא שיצאה אחריו.

עריכה:
שוב- הקוד יצא הפוך.
[נערך על-ידי cp77fk4r בתאריך 2004/06/01 11:16]

2004-06-02 11:28 Error_651

שמעתי על אפשרות לערוך קוד של טרויאני ב hex editor
כדי שנורטון לא תזהה אותו.

כמובן שזו דרך מאוד מסורבלת וארוכה.

2004-06-02 12:55 cp77fk4r

תיראה, Error_651, אנטי וירוסים ופיירוולים עובדים ע"פ זה שהם עוקבים אחרי קובץ ובודקים עם הוא עושה פעולות "חשודות", למשל עם קובץ מסויים/ לא מוגדר, ינסה לשלוח מידע דרך שלא אופשר דרך הפייר וול, אז הפייר וול ידע שיש פה משהו מוזר ו"חשוד" ויחסום אותו, ככה שלרב לא משנה כ"כ מה תשנה בקוד של הטרוייאן כל עוד הוא ימשיך לעשות פעולות "חשודות" הפייר וול יחסום אותו.

כמובן, כל מה שאמרתי קיים רק אם אין באג מסויים שתנצל באותו הפייר וול כדי לאפשר למידע להשלח בלי שהפייר וול יעצור אותו.

אם אתה מכיר איזה באג שקיים שנורטון או כל פייר וול אחר שמאפשר לשלוח מידע דרך פורט לא מוגדר נשמח אם תשתף אותנו.

2004-06-02 13:03 Error_651

תיראי, Error_651*

את מה שסיפרת ידעתי. הקטע שבאמת לא היה מובן לי, מה איך ולמה צריך לשנות דברים דרך ההאקס אדיטור.

יש בידיי כרגע טרויאני שנבנה על בסיס טרויאני מוכר אך הפכו אותו לבלתי מזוהה ע"י נורטון.
מסיבות אישיות אני לא מוכנה לחלוק אותו עם הרבה אנשים אבל אני יכולה לשלוח לך ושתבדוק במה מדובר.

2004-06-02 14:13 cp77fk4r

אהה אוי.., אני מצטער, לא ידעתי שאת בת, מקווה שלא נפגעת.

ותראי, יש אפשרות לקווץ חלקים מהסורס של הHex וככה הקובץ גם יהיה יותר קטן וגם יהיה אפשר להריץ אותו (הוא ישאר Exe), וככה האנטי וירוסים לא מזהיים אותו כאותו וירוס, כי זה בכל זאת משנה את הקוד שלו, זה מעין קיבוץ שעדיין קריא, לא כמו למשל Zip שהופך את הקובץ ללא קריא וכדי להריץ אותו או לקרוא ממנו צריך לפתוח את הקיווץ.

אבל עדיין, האנטי וירוס לא יזהה אותו כוירוס, והוא יוכל לשבת על המחשב ולאסוף מידע (אם הוא בנוי גם כKeyLogger), אבל עדיין, כשהוא ינסה ליצור קשר עם השולח הוא יהיה חייב לפתוח יציאה מסויימת, עם הפייר וול שעל המחשב לא הגדיר את הפורט כ"חוקי" אז לא משנה איך הטרויאן יהיה בנוי, הוא לא יוכל ליצור קשר עם העולם החיצון / סייבר ספייס / נט וכו'.

יש מבינה? :)
[נערך על-ידי cp77fk4r בתאריך 2004/06/02 14:19]

2004-06-02 15:38 Error_651

יש מבינה. :)
תודה.

אז אני אנסה לברר מה זה באמת- מה שקוראים אותו חתימה של נורטון.

והטרויאני הזה כן עובד
ועובד מצוין

2004-06-02 15:52 Liero

באג ב-
Norton Internet Securty 2003
לפעמים הוא מנתק את הסופר יוזר והפיירול לא עולה
או שבתחילת המחשב הוא לא עולה כמו שאמור לעלות

2004-06-03 11:00 Dorown

error_651 אולי תסבירי לנו איך זה עובד פחות או יותר ?

אני ישמח לשמוע איך זה עוקף את הנורטון ..
תודה.

2004-06-04 00:10 cp77fk4r

אני יכול להסביר לך איך זה עוקף את האנטי וירוס (ככה שבסריקה הוא לא יזהה אותו כקובץ "זדוני") אבל אין לי מושג איך זה יכול לשלוח מידע דרך פורט שהפייר וול סגר/מנצל את הבאג בנורטון.

error_651 (מה השם?), גם אני אשמח אם תסבירי על הבאג שזה מנצל.

תודה.

2004-06-04 11:59 Dorown

אההה הוא קורא לקובץ בשם מסווים ??
ראיתי שיש באג שהנורטון אנטי וירוס לא יכול לסרוק אותו או משהו כזה ?
אני ינסה לחפש מידע..

רד-בורד: ארכיון

ראשי > אבטחת מידע > באגים בפייר וולים (קולקשיין)..