Outpost-Firewall lässt sich aushebeln

Das Sicherheitsunternehmen Matousec hat einen Exploit vorgestellt, mit dem sich die Outpost-Firewall außer Gefecht setzen lässt.

In Pocket speichern vorlesen Druckansicht 157 Kommentare lesen
Lesezeit: 1 Min.
Von

Das Sicherheitsunternehmen Matousec hat Demonstrationsschadcode vorgestellt, mit dem sich der Selbstschutz und in Folge die Outpost-Firewall selbst außer Gefecht setzen lässt. Bislang gibt es noch keine Updates von Agnitum. Der Schadcode liegt im Quelltext vor – Schädlingsautoren können ihn einfach übernehmen.

Outpost nutzt einen Kernel-Treiber (sandbox.sys), der sich in zahlreiche Systemfunktionen einklinkt, um die eigenen Dateien vor dem Zugriff durch andere Programme zu schützen. Allerdings hat Agnitum die Funktion ZwSetInformationFile übersehen. Dadurch ist es Angreifern möglich, mit dem direkten Aufruf dieser Systemfunktion Dateien zu ersetzen – etwa auch den Treiber sandbox.sys.

Der in der Sicherheitsmeldung vorgestellte Schadcode ersetzt sandbox.sys durch eine gefälschte Version des Treibers, der sich nicht in Funktionen des Windows-Kerns einklinkt. Das deaktiviert den Selbstschutz von Outpost nach einem Rechnerneustart. Dann lässt sich das Installationsverzeichnis fast vollständig löschen, sodass die Firewall nicht mehr funktioniert.

In der heise-Security-Redaktion ließen sich Outpost 3.0.557.5918 und 4.0.1005.7229 mit dem Demonstrations-Exploit außer Betrieb nehmen. Es ist davon auszugehen, dass sämtliche Versionen dazwischen ebenfalls verwundbar sind. Der Schadcode benötigt Administratorrechte. Die Arbeit mit Benutzerkonten mit eingeschränkten Rechten erschwert einen Angriff.

Siehe dazu auch:

(dmk)