Outpost-Firewall lÀsst sich aushebeln
Das Sicherheitsunternehmen Matousec hat einen Exploit vorgestellt, mit dem sich die Outpost-Firewall auĂer Gefecht setzen lĂ€sst.
Das Sicherheitsunternehmen Matousec hat Demonstrationsschadcode vorgestellt, mit dem sich der Selbstschutz und in Folge die Outpost-Firewall selbst auĂer Gefecht setzen lĂ€sst. Bislang gibt es noch keine Updates von Agnitum [1]. Der Schadcode liegt im Quelltext vor â SchĂ€dlingsautoren können ihn einfach ĂŒbernehmen.
Outpost nutzt einen Kernel-Treiber (sandbox.sys), der sich in zahlreiche Systemfunktionen einklinkt, um die eigenen Dateien vor dem Zugriff durch andere Programme zu schĂŒtzen. Allerdings hat Agnitum die Funktion ZwSetInformationFile ĂŒbersehen. Dadurch ist es Angreifern möglich, mit dem direkten Aufruf dieser Systemfunktion Dateien zu ersetzen â etwa auch den Treiber sandbox.sys.
Der in der Sicherheitsmeldung vorgestellte Schadcode ersetzt sandbox.sys durch eine gefÀlschte Version des Treibers, der sich nicht in Funktionen des Windows-Kerns einklinkt. Das deaktiviert den Selbstschutz von Outpost nach einem Rechnerneustart. Dann lÀsst sich das Installationsverzeichnis fast vollstÀndig löschen, sodass die Firewall nicht mehr funktioniert.
In der heise-Security-Redaktion lieĂen sich Outpost 3.0.557.5918 und 4.0.1005.7229 mit dem Demonstrations-Exploit auĂer Betrieb nehmen. Es ist davon auszugehen, dass sĂ€mtliche Versionen dazwischen ebenfalls verwundbar sind. Der Schadcode benötigt Administratorrechte. Die Arbeit mit Benutzerkonten mit eingeschrĂ€nkten Rechten erschwert einen Angriff.
Siehe dazu auch:
- Outpost Bypassing Self-Protection using file links Vulnerability [2], Sicherheitsmeldung von Matousec
(dmk [3])
URL dieses Artikels:
https://www.heise.de/-134821
Links in diesem Artikel:
[1] http://www.agnitum.de/
[2] http://www.matousec.com/info/advisories/Outpost-Bypassing-Self-Protection-using-file-links.php
[3] mailto:dmk@heise.de
Copyright © 2007 Heise Medien