Leak Tests - Ces tests cherchent à prendre les pare-feu (firewall) en défaut en les traversant ou les contournant.
leak test, leak tests, fuite, fuites, leak, leaks, évasion, évasions, testeur, testeurs, tester, leaktest, leaktests, pare-feu, firewall, firewalls, comparatif, comparative, classement, ranking, tooleaky, firehole, yalta, outbound, pcaudit, awft, atelier web firewall tester, thermite, copycat, mbtest, wallbreaker, pcaudit2, ghost, dnstester, wwdc, windows worms doors cleaner, gkweb, injection, dll, createemotethread, openprocess, setwindowshookex, writeprocessmemory, vulnerabilities, outbound, packet, port, ports, rpc, dcom, exploit, wwdc.exe, personal firewall, internet security, sandbox, sandboxes, jetico, agnitum, soft4ever, outpost, looknstop, zone alarm, zonealarm, kerio, tiny, kaspersky, sygate, norton, symantec
Leak Tests - Ces tests cherchent à prendre les pare-feu (firewall) en défaut en les traversant ou les contournant.
leak test, leak tests, fuite, fuites, leak, leaks, évasion, évasions, testeur, testeurs, tester, leaktest, leaktests, pare-feu, firewall, firewalls, comparatif, comparative, classement, ranking, tooleaky, firehole, yalta, outbound, pcaudit, awft, atelier web firewall tester, thermite, copycat, mbtest, wallbreaker, pcaudit2, ghost, dnstester, wwdc, windows worms doors cleaner, gkweb, injection, dll, createemotethread, openprocess, setwindowshookex, writeprocessmemory, vulnerabilities, outbound, packet, port, ports, rpc, dcom, exploit, wwdc.exe, personal firewall, internet security, sandbox, sandboxes, jetico, agnitum, soft4ever, outpost, looknstop, zone alarm, zonealarm, kerio, tiny, kaspersky, sygate, norton, symantec
Leak Tests - Ces tests cherchent à prendre les pare-feu (firewall) en défaut en les traversant ou les contournant.
leak test, leak tests, fuite, fuites, leak, leaks, évasion, évasions, testeur, testeurs, tester, leaktest, leaktests, pare-feu, firewall, firewalls, comparatif, comparative, classement, ranking, tooleaky, firehole, yalta, outbound, pcaudit, awft, atelier web firewall tester, thermite, copycat, mbtest, wallbreaker, pcaudit2, ghost, dnstester, wwdc, windows worms doors cleaner, gkweb, injection, dll, createemotethread, openprocess, setwindowshookex, writeprocessmemory, vulnerabilities, outbound, packet, port, ports, rpc, dcom, exploit, wwdc.exe, personal firewall, internet security, sandbox, sandboxes, jetico, agnitum, soft4ever, outpost, looknstop, zone alarm, zonealarm, kerio, tiny, kaspersky, sygate, norton, symantec
 |
|
Leak Test Thermite (par Oliver Lavery)
|
| |
|
|
|
| Leak Test Thermite (par Oliver Lavery) |
 Téléchargez Leak Test Thermite de Oliver Lavery
Intro
Thermite, lorsqu'exécuté, télécharge la page index.html du site www.securityfocus.com en utilisant une technique qui bypass les contrôles de sortie des firewall, et est utilisée par les spywares, trojans, et autres malveillances pour communiquer à l'extérieur des informations confidentielles stockées dans votre ordinateur.
Thermite utilise, pour se camoufler, le procédé d'injection de code dans un processus déjà monté en mémoire, en l'occurrence dans un composant d'un programme qui, lui, dispose des autorisations pour traverser le firewall (le test utilise un composant d'Internet Explorer). Le test consiste donc à voir si le firewall détecte la modification d'un composant d'un programme alors que celui-ci est déjà monté en mémoire et ne s'arrête pas à la surveillance du programme seul (le segment maître) sans tenir compte du détail de tous ses composants. Si le test réussit cela signifie que votre firewall est vulnérable à la technique de l'injection de code. Par exemple, ZoneAlarm, à partir des versions 4.0, surveille tous les composants d'un programme mais, une fois ces composants montés en mémoire, ZoneAlarm ne s'en occupe plus.
Dans sa forme présente, l'exploit ne communique aucune donnée sensible et ne pollue pas votre ordinateur.
Le code source de cet exploit a été rendu public le 21 Fév 2003 sur un forum (et y est toujours) ce qui n'a pas l'air de beaucoup préoccuper les éditeurs de FireWall car, mis à part Look'n'Stop, tous sont traversés !
Platform
Cet exploit est réputé fonctionner sur les plateformes:
- Windows XP SP1 (tous patchs appliqués à la date du 12 février 2003)
Cet exploit est réputé fonctionner face aux firewalls suivants:
- ZoneAlarm Pro 3.5, 4.0, 4.5 (paramétrages les plus durs)
- Zeroknowledge Freedom Personal Firewall
- Look'n'Stop 2.04 (app filtering turned on)
- Sygate Personal Firewall PRO (paramétrages les plus durs)
- Norton Personal Firewall 2003 (paramétrages les plus durs)
Il devrait, en théorie, fonctionner sous toutes les plateformes à base de variantes de Windows NT, et devrait bypasser tous les firewall personnels existant (BlackICE, ZKS Freedom, etc.). Cet exploit ne nécessite aucun privilège particulier et peut être lancé par n'importe quel utilisateur, y compris un utilisateur sans aucun privilège et s'identifiant dans la machine en tant que simple invité.
Utilisation
Au moins une instance d'Internet Explorer doit être lancée sinon le test ne s'exécute pas. Double clic sur thermite.exe (il n'a pas besoin d'installation et est opérationnel dès décompression). Un fichier nommé securityfocus.html va apparaître dans le répertoire courant (celui depuis lequel vous venez de lancer thermite.exe). Votre firewall, même réglé au plus haut niveau de protection, n'a probablement rien vu.
Si Internet Explorer n'est pas en cours d'exécution lorsque thermite.exe est lancé, un message d'erreur apparaît.
Conclusion
La technique utilisée par cet exploit est très difficile à détecter. Je la montre pour illustrer que la conception des firewalls personnels est fondamentalement stupide. Les systèmes d’exploitation en général, et Windows NT en particulier, n’assurent aucune protection contre des processus utilisés par un utilisateur donné en interférant les uns les autres. Aussi longtemps que des processus peuvent se modifier, les firewalls ne seront pas capables d’autoriser certains des processus d'un utilisateur à accéder à Internet et dans le même temps essayer d’en empêcher d’autres. Cela ne fonctionne pas.
Maintenant que ZoneAlarm est sécurisé contre des exploits aussi évidents que LeakTest, FireHole, et TooLeaky, ils continuent à prétendre proposer un produit sensible.
Sincèrement, la protection des firewalls contre les connexions entrantes est réelle. Par contre, la protection des firewalls contre les connexions sortantes est critiquable, et cet exploit démontrera, si tout va bien, que les compagnies vendant ces produits font de fausses affirmations et donnent à leurs utilisateurs une fausse garantie de sécurité.
Maintenant que je sais quels produits sont vulnérables, et que le binaire est assez stable, je vais publier le code source de l'exploit... IDAPro vous montrera rapidement comment cela fonctionne pour autant que vous ayez connaissance de l'assembleur x86.
|
Révision - 10.03.05
Rédigé en écoutant
|
|
|
 |