ОГНЕННОЕ РЕШЕТО - дыры в виндовых фарволлах

][rimZ (hrimz@xakep.ru)

Спецвыпуск Xakep, номер #024, стр. 024-048-1


Дарова, читатель! Сегодня я подготовил для тебя обзор известных дыр и уязвимостей в персональных фаерволлах, приводящих в одном случае к падению системы, в другом - к обходу защиты "огненной стены" и доступу к ресурсам. Так сказать, багатрака по теме. Итак, вникай - пригодится!

ZONEALARM

О-го-го-го!! Это персональный защитник - явный победитель данного обзора по количеству уязвимостей. Просто-таки решето какое-то! Но обо всем по порядку.

Жук номер раз

В некоторых случаях ZoneAlarm принимает внешние (из Сети) соединения за внутренние (из локалы) и присваивает им самый низкий уровень защиты (нам это и нужно =). Программа рассматривает в качестве внутренних любые IP-адреса, у которых первые два разряда совпадают с первыми двумя разрядами адреса самого пользователя. То есть, если IP пользователя - 66.66.66.66, то все адреса типа 66.66.*.* будут рассматриваться как безопасные (хотя на деле оказывается, что это просто айпишники того же прова - прим. ред.). В результате, при соединении с тачкой, имеющей такой IP, фаерволл не будет обеспечивать необходимую защиту.

Уязвимости подвержены все версии фаерволла, включая pro и фриварную...

Жук номер два

В ZoneAlarm присутствует особенность MailSafe, используемая для блокировки электронных мессаг, содержащих аттачем исполняемые файлы.

MailSafe может блокировать вложения файла с некоторым расширением, например, все «.exe» файлы. Если тот же самый файл послан с дополнительной точкой (.), добавленной в конец к имени файла, такой файл не будет блокирован. Так что вири и трояны ждут своего череда...

Уязвимости найдена в ZoneAlarm 3.0.

Жук номер три

Опять же дыра в MailSafe. Напоминаю, что MailSafe идентифицирует в почтовых вложениях потенциально вредные файлы (исключая: *.exe, *.com, *.reg, *.vbs или другие, которые могут быть добавлены в обычной конфигурации) и переименовывают их расширение в *.zl*; в то же самое время информация об этом поступает юзеру (Проснись! Тебя имеют! =)). Проблема связана с тем, что это приложение не может работать с очень длинными файлами, что-то типа: "aaaaaaaaaaaaaaaaaaaa(и так далее).exe". При этом происходит переполнение буфера, и система виснет. Вот такой персональный 3.14zDoS наступает юзеру ушастому от его "Персональной защиты"...

Уязвимости подвержены все версии ZoneAlarm.

TINY PERSONAL FIREWALL

Жук номер раз

Если пользователь Tiny Personal Firewall пытается просмотреть файлы регистрации Personal Firewall Agent Logs в то время, как его порты во всю сканит хакер Стасик, программа начнет использовать 100% ресурсов машины и зависнет. Такие невкусные ватрушки.

Уязвимость обнаружена в Tiny Personal Firewall 3.0-3.0.6.

Жук номер два

Еще один не очень известный баг очень известного фаерволла. Суть уязвимости в том, что если юзер ставит в настройках Tiny уровень защиты HIGH Security, а в этот момент все тот же хакер Стасик попытается просканировать порты его компа, перед этим подделав свой IP на его, - все на хрен повиснет. Реализовать и понять этот баг можно у себя на машине и без Стасика. Ставишь в Tiny уровень защиты HIGH Security, потом запускаешь любой сканер портов и сканишь 127.0.0.1 - вот и виснет все =). В общем, если обращаться к машине "как бы" с ее же айпишника (будь то Инет или LAN), происходит "аварийное завершение работы системы" :). Так что, господа хакеры, нужно еще и IP грамотно подделывать уметь...

Содержание  Вперед на стр. 024-048-2