[Rika]

Schutzfunktion von Sygates Personal Firewall ausgehebelt

Die Fail-Close-Funktion der Sygate Personal Firewall PRO -- eine Option zum Blocken von Verbindungen, falls der Firewall-Dienst nicht läuft -- kann von bösartigen Programmen umgangen werden. Da der Firewall-Treiber die Herkunft von Kommandos nicht überprüft, können auch Anwendungen mit eingeschränkten Zugriffsrechten die Fail-Close-Funktion deaktivieren.

Zwar versucht der im Kernelspace laufende Treiber (teefer.sys) dem vorzubeugen, indem immer nur ein Programm aus dem User-Space auf ihn zugreifen darf -- in der Regel der Firewall-Dienst smc.exe --, dieser lässt sich aber zum Absturz bringen. In der Folge kann das Schadprogramm Kommandos an den Treiber senden. Trojaner und Würmer können damit die besondere Schutzfunktion Firewall Termination Prevention der Sygate Personal Firewall aushebeln und Verbindungen nach außen aufbauen.

Laut Security Advisory ist der Fehler für Version 5.5 Build 2525 auf Windows 2000 SP4 bestätigt. Der Autor hat in seiner Beschreibung Codebeispiele zum Terminieren der smc.exe und zum Abschalten des Fail-Close aufgeführt. Sygate ist über das Problem informiert und will den Fehler mit der nächsten Release beheben.

Quelle: http://www.heise.de/...r/meldung/48212

Dieser Beitrag wurde von Rika bearbeitet: 14. Juni 2004 - 16:42

[Rika]

Jetzt mal als konkrete technische Stellungsnahme: Es handelt sich hierbei um eine sogenannte Shatter Attack, gegen die technisch überhaupt gar nix hilft - außer ein rigoroses Verbot der Möglichkeit, daß der User selber Regeln erstellen kann, ohne sich mit einem anderen Sicherheitskonto unter Windows anzumelden. Sprich, einfach alles wegzuschmeißen, was eine Personal Firewall so personal macht. Wirklich alle PFWs sind dagegene anfällig, das ist auch der Grund, warum Sygate das auch ein "nächstes Release" verschiebt; fixen kann man es nimmermehr, man kann allerhöchstens das Problem von A nach B verschieben, daß der Exploit bei A nicht mehr greift - sprich: ein reines Katz-und-Maus-Spiel, das man immer verlieren wird.

Shatter Attacks sind allgemein eine Zusammenfassung von Attacken, die sich darauf berufen, daß Windows und jede Windows-Software ereignisorintiert arbeitet und auf sogenannte Messages reagiert. Der Druck auf eine Taste ruft z.B. eine KeyPress KB_xxxx Message hervor, die dann das Programm empfängt und abarbeitet. Aber auch andere Programme können solche Messages generieren, z.B. schickt der Taskamanger beim Beenden eines Prozesses erst ein WM_CLOSE, wenn das Programm darauf nicht reagiert ein WM_KILL, und ansonsten weist er den Kernel mit HandleProcess(PID,ProcessTerminate) an den Prozess hart zu beenden.

Die Attacke basiert nun darauf, daß Windows keinerlei Möglichkeit gibt, den Verursacher einer Message zu identifzieren - beweisbarerweise gibt es generell keine effektive Möglichkeit, das auf irgendeinem System zu bewerkstelligen, man möge Windows also vereziehen daß es das Unmögliche nicht mal in Ansätzen versuchen möchte. Ob nun der User auf OK klickt oder das von einem anderen Programm getan wird, kann die PFW folglich nicht unterscheiden.
Einige PFWs wie Sygate versuchen durch einen sicheren Kanal von Maus/Tastaturtreiber über einen eigenen Treiber hin zu dem Hauptprogramm eine Überprüfung zu fahren, damit verschiebt sich aber das Problem nur bis zu diesem Treiber herunter und wird dann halt dort ausgebeutelt, wie diese neue Sicherheitslücke hervorragend demonstriert.

Der ursprüngliche Name "Shatter Attack" kommt dabei vom englischen "to shatter" - "erschüttern" und bezeichnet vor allem das massive Versenden solcher Messages an das Programm, das dann, wenn nicht sauberstens programmiert, entweder abstürzt, aufhört zu arbeiten, blockiert oder sich plötzlich merkwürdig verhält. Heutzutage gelten aber auch einfache Sicherheitsumgebung mit wenigen Nachrichten zu dieser Klasse gehörend.

Abhilfe schafft, wie ich schon nannte, nur der rigorose Verzicht auf Usereingaben im gleichen Kontext. Der User könnte beispielsweise mit eingeschrönkten Benutzerrechte angemeldet sind und die PFW könnte beispielsweise die Rückfragen in den Administrator-Account senden, dem User selbst nur eine Info-Meldung über die Feststellung geben und den User bitten, sich als Admin anzumelden, um entsprechende Regeln festzulegen. Bislang wird dieses Prinzip aber von absolut gar keiner PFW unterstützt, und da die Mehrheit der User eh als Admins angemeldet sind, wird es in der Praxis kaum was nützen. Nebenebi ist von Sygate auch nicht zu erwarten, daß nun eine entsprechend saubere Implementierung erfolgt.

Dieser Beitrag wurde von Rika bearbeitet: 14. Juni 2004 - 16:45

[The Knight]

Mal ne Frage zu der Sygate FW. Wenn ich die nicht automatisch mit Windows starten lasse, kann ich sie später nicht mehr manuell starten. Es passiert nichts. Gibt es da einen Trick oder sowas?

[Rika]

Warum fragst du das nicht den Support oder die Programmierer? Kaputt ist kaputt isz kaputt.

Dieser Beitrag wurde von Rika bearbeitet: 30. Juli 2004 - 15:15

[The Knight]

Ich habs sie aber frisch installiert und eigentlich gar nix gemacht, aßer den Haken bei Autostart zu entfernen.