Debilidad en autoprotección de Outpost Firewall

en Noticias de Seguridad Informatica
TU PANEL DE CONTROL:
REGISTRAR
Wilkinsonpc Tienda Productos Servicios Recursos Gratuitos - Gratis Soporte Comunidad
Foros Qubitaria Ayuda de los Foros
Retroceder   Foros Comunidad : Noticias de Actualidad : Noticias de Seguridad Informatica
Noticias de Seguridad Informatica Noticias de Seguridad Informatica Todas las Noticias de Seguridad Informatica. Alertas y fallos de seguridad.

Debilidad en autoprotección de Outpost Firewall

Compartir

Outpost Firewall protege sus propios archivos y directorios, impidiendo que otras aplicaciones puedan manipularlos. La protección se realiza mediante ganchos a la tabla SSDT.

SSDT (System Service Descriptor Table), es un servicio de tabla de descriptores utilizado por Windows para encaminar las llamadas del sistema hacia las APIs, el conjunto de rutinas que las aplicaciones utilizan para solicitar y efectuar servicios de nivel inferior.

"Engancharse" al servicio SSDT, es una de las técnicas frecuentemente utilizadas por los rootkits, los que al modificar esta tabla, pueden reorientar la ejecución de las aplicaciones hacia su propio código, suplantando la función originalmente llamada.

Esto puede ser implementado tanto por rootkits maliciosos, como por software que utiliza técnicas antirootkits, o de autoprotección, como el caso del Outpost.

Sin embargo, en el caso del conocido cortafuego, la implementación de ésta protección, no previene que aplicaciones maliciosas puedan llamar a una determinada API nativa, para reemplazar archivos que no son utilizados por el sistema cuando dicha función es llamada.

Uno de los archivos que puede ser suplantado con dicha técnica, es SandBox.sys, el driver que implementa los mecanismos de autoprotección de este firewall, ubicado en el directorio donde se instala el Outpost.

Un atacante podría reemplazar este archivo con una copia falsa que se cargaría y ejecutaría en un próximo reinicio de Windows. Esto daría al atacante el control total del sistema, debido a que dicho driver se ejecuta con los mayores privilegios (modo kernel).

Ésta acción puede implementarse sin el conocimiento del usuario.

Son vulnerables las siguientes versiones del programa:

- Outpost Firewall PRO 4.0 (1005.590.123)
- Outpost Firewall PRO 4.0 (971.584.079)
- Outpost Firewall PRO 4.0 (964.582.059)

Versiones anteriores también podrían ser vulnerables.

La información fue hecha pública el mismo día que se avisó al fabricante, por lo que no existe al momento de ésta alerta, ninguna solución oficial al problema.

Más información:

Outpost Bypassing Self-Protection using file links Vulnerability
http://www.matousec.com/info/advisor...file-links.php

Créditos:

David Matousek
Compartir
  #1  
Creado: 16-Jan-2007, a las 22:52 Vistas: 808
Categoria: Noticias de Seguridad Informatica
Creado por: W-Bot W-Bot está desconectado (18-February-2005 | Colombia | 5.563 Mensajes.)
Respuesta

Etiquetas
autoprotección, debilidad, firewall, outpost


Temas Similares
» Outpost firewall pro 7.0 0
» Outpost Firewall Pro 7.0 0
» Outpost firewall pro 7.0 0
» Agnitum Outpost Firewall 4.0 (1007.591.145) 0
» Duda sobre Outpost Firewall?? 0
» Nuevo! Agnitum Outpost Firewall 4.0 (964.582.059) 0
» Nuevo! Agnitum Outpost Firewall 3.51 (759.462) 0
» Nuevo! Agnitum Outpost Firewall 3.51 (748.462) 0
» Nuevo! Agnitum Outpost Firewall 3.5 (641.458) 0
» Nuevo! Agnitum Outpost Firewall 3.5 (639.457) 0


Herramientas Buscar en Tema
Buscar en Tema:

Búsqueda Avanzada
Desplegado

Ir al Foro


» ComuniDAD
Inicio
Noticias de Actualidad
Apuntes, Monografias y Tareas
Telefonia, Celulares, TV, GPS, ISP, PDA
Programas Windows, Mac, Linux, etc.
Hardware, Electronica y Redes
Diseño Web y Programacion
Internet y Grandes Portales
Juegos, Consolas y Emuladores
Multimedia, Diseño y Animaciones
Peliculas, Series, Musica, Trailers, Videos, Parodias
Seguridad y Spyware
Salud, Bienestar, Familia y Esparcimiento
Economia, Negocios y Asuntos Legales
Hoteles, Viajes y Turismo
Mundo a Motor [Motos, Autos, etc]
Foros Generales (OFF TOPIC)
Calendario de Eventos
Administracion ComuniDAD



Ultimos Temas


La franja horaria es GMT -5. Ahora son las 02:45.


2010 ©
Powered by : vBulletin® Versión 3.8.8 Copyright ©2000 - 2020, Jelsoft Enterprises Ltd.
SEO by vBSEO 3.2.0
Sitemap 1 - Sitemap 2 - Sitemap 3 - Sitemap 4