POC per bucare il firewall di XP sp2

[BianConiglio]

Ciao ho fatto un POC (un programma dimostrativo innocuo) che buca il firewall di XP...

Cosa fa ?

crea il file C:\VirusFinto.exe.
aggiunge al database del firewall C:\VirusFinto.exe come programma con accesso alla rete.
aggiunge la porta 666 alla lista delle porte non monitorate.

Se lo eseguite, a scanso di errori (dovete avere privilegi di admin) potrete seguinre il percorso.. quando ha finito controllate nella GUI del firewall ed ecco che vedrete VirusFinto e Porta per VirusFinto (oltre al file creato dentro C:\)

per tornare a prima basta fare delete sulle 2 nuove entrate del database e cancellare il file in C:\

E' tutto innocuo.

DOWNLOAD (salva oggetto con nome..) http://cursumperficio.altervista.org/XpSp2Firewall.rar

fatemi sapere come funzia e se ricevete errori non attesi... se funzia tutto creo anche la modalità di ripristino...

[BianConiglio]

Codice: Seleziona tutto

******************************************************************
* SilentBypass del Firewall di XP service pack 2 by BianConiglio *
******************************************************************

-> Sto creando un innocuo file da aggiungere al DataBase..  Fatto.

-> Sto inserendo i nuovi valori nel DataBase del Firewall.. Fatto.

-> Sto inserendo il numero della porta (666) nel DataBase.. Fatto.

"VirusFinto.exe" e' stato aggiunto al DataBase delle permissioni e
la porta 666 e' aperta ed e' ora pronta per esser messa in ascolto
Ora questo (innocuo) programma avrebbe la possibilita', volendo di
funzionare da server! Senza che voi abbiate autorizzato nulla ! La
porta tcp 666 potrebbe essere usata da qualsiasi pirla per entrare
nella vostra macchina.. scoperta e vulnerabile.

Potete verificare a mano quanto detto tramite la GUI del FireWall.
Start -> Impostazioni -> Pannello di Controllo -> CSP -> Firewall.

******************************************************************
* Veni Vidi Vixi.  BianConiglio aka Jacopo Malnati  ICQ#78857306 *
******************************************************************

[piercing]

beh... perchè non dovrebbe "bucarlo"? è un'eseguibile...

diverso è se riuscissi a cambiarlo da fuori al firewall... nò?

[BianConiglio]

è tanto per dimostrare come un qualsiasi programma possa auto-darsi qualsiasi diritto..

con zone alarm, outpost ecc è più complicato ma è quasi lo stesso

è interessante un'evoluzione del POC.. volendo posso prendere il primo programma che l'utente ha autorizzato, lasciarne invariato il nome nella GUI ma modificarne la path relativa.. nella GUI hai il valore vecchio mentre in realtà il firewall non controlla un qualsiasi eseguibile/porta settato da me.

[Dylan666]

Più interessante sarebbe questo:

se il nuovo SP2 ci protegge dai vari SQL Slammer, Sasser & Co, non si è affatto al sicuro per quanto riguarda spyware o virus dotati di motore SMTP interno

[piercing]

cmq.... anche i sassi sanno il mio giudizio sui firewall software...

[BianConiglio]

bè che il firewall filtri solo le cose in entrata e non in uscita è da sempre che si sa.. già nella precedente versione era così..haimè

[Dylan666]

Veramente il cambiamento nello sp2 doveva essere proprio quello, un firewall VERO che monitorasse TUTTO il traffico.

[BianConiglio]

mha, l'hanno detto da qualche parte? se così fosse si vede che hanno cambiato idea... dehehei si vede che erano stanchi poverini

[Dylan666]

mha, l'hanno detto da qualche parte?

http://sicurezza.html.it/articoli.asp?i ... rticoli=27

http://www.microsoft.com/italy/windowsx ... intro.mspx

Sembrava si volesse fare un firewall serio (almeno al'altezza degli attuali freeware...)

[BianConiglio]

no no no.....su html.it come spesso accade si scrivono news e guide per nulla..

http://www.microsoft.com/italy/windowsx ... intro.mspx invece è chiaro:

difendersi da tentativi di accesso al computer dall'esterno

Quando qualcuno in Internet o in una rete cerca di connettersi al computer dell'utente

Se si esegue un programma che richiede la ricezione di informazioni da Internet o da una rete

si parla sempre e solo di limitare le connessioni out->in e non il contrario

ciò non toglie che sia una scelta pessima.

[Dylan666]

Più che un vantaggio insomma è un intralcio, e pure attivato di default

[dado]

Prima o poi la polizia ti verrà ad arrestare, bianco...

[BianConiglio]

sono già venuti nel 2001 (ero piccino ed un lamerello) e mi hanno sequestrato il picci

da allora faccio solo POC innocui per la giusta causa

[disgrazia]

Se lo eseguite, a scanso di errori (dovete avere privilegi di admin)

Chissà... magari, se l'utente medio imparasse che non è buona cosa avere sempre i privilegi di amministratore, anche un firewall software potrebbe essere sufficiente...

[kadosh]

Ahhhh...la santa causa dei diritti minimi....eppure ho sempre pensato di essere un fesso ad usare sempre e solo utenze pari a User