Schutzfunktion von Sygates Personal Firewall ausgehebelt
Die Fail-Close-Funktion der Sygate Personal Firewall PRO, eine Option zum Blocken von Verbindungen falls der Firewall-Dienst nicht läuft, kann von bösartigen Programmen umgangen werden.
Die Fail-Close-Funktion der Sygate Personal Firewall PRO -- eine Option zum Blocken von Verbindungen, falls der Firewall-Dienst nicht läuft -- kann von bösartigen Programmen umgangen werden. Da der Firewall-Treiber die Herkunft von Kommandos nicht überprüft, können auch Anwendungen mit eingeschränkten Zugriffsrechten die Fail-Close-Funktion deaktivieren.
Zwar versucht der im Kernelspace laufende Treiber (teefer.sys) dem vorzubeugen, indem immer nur ein Programm aus dem User-Space auf ihn zugreifen darf -- in der Regel der Firewall-Dienst smc.exe --, dieser lässt sich aber zum Absturz bringen. In der Folge kann das Schadprogramm Kommandos an den Treiber senden. Trojaner und Würmer können damit die besondere Schutzfunktion Firewall Termination Prevention der Sygate Personal Firewall aushebeln und Verbindungen nach außen aufbauen.
Laut Security Advisory ist der Fehler für Version 5.5 Build 2525 auf Windows 2000 SP4 bestätigt. Der Autor hat in seiner Beschreibung Codebeispiele zum Terminieren der smc.exe und zum Abschalten des Fail-Close aufgeführt. Sygate ist über das Problem informiert und will den Fehler mit der nächsten Release beheben.
Siehe dazu auch: (dab)
- Security Advisory von SIG²
