Windows Firewall via 0day exploit uit te schakelen
Op het internet is exploitcode verschenen voor een onderdeel van de Windows Firewall en Internet Connection Sharing (ICS) service, zo waarschuwt het Internet Storm Center. Via de exploit kan een aanvaller een Denial of Service veroorzaken en de firewall uitschakelen. Een beveiligingsonderzoeker die de exploit onderzocht laat weten dat een volledig gepatchte Windows XP met Service Pack 2 installatie kwetsbaar is.
De exploit veroorzaakt de volgende foutmelding: "Generic Host Process for Win32 Services has encountered a problem and needs to close. We are sorry for the inconvenience."
Er staat dat de firewall uit stond alvorens deze exploit los werd gelaten..
als er toegang is vanaf het interne netwerk volgends deze beschrijving:
http://blog.ncircle.com/archives/blogging/
uit....of snap ik het niet ?
Als de FW al uit staat, dan zet de exploit toch niks
uit....of snap ik het niet ?
Het gaat niet over de firewall, het gaat over ICS (Internet Connection
Sharing). Een gebruiker kan de ICS dienst vanaf het interne netwerk
DoSsen waarna het niet meer beschikbaar is.
Althans, dat is wat er nu bekend is gemaakt.
Als de FW al uit staat, dan zet de exploit toch niks uit....of snap ik het niet ?
command line instructie uitzetten? ik weet dat dat pre SP2
wel het geval was ..
hmm kan je de windows firewall niet middels een simpele command line instructie uitzetten? ik weet dat dat pre SP2 wel het geval was ..
http://blog.ncircle.com/archives/2006/10/microsoft_ics_d.htm
een hardware firewall en een software firewall van
McAfee...By, by exploit...
Als de FW al uit staat, dan zet de exploit toch niks
uit....of snap ik het niet ?
Internet Connection Sharing..
Dus wordt ie toch uitgezet....
Resultaat inderdaad (ICS) (zelfs bij uitgezette windows firewall)
--------------------------------------------------------------------------------------
C:Documents and Settingsxxxxxxxx (hook right)sc query sharedaccess
SERVICE_NAME: sharedaccess
TYPE: 20 WIN32_SHARE_PROCESS
STATE: 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE: 0 (0X0)
SERVICE_EXIT_CODE: 0 (0X0)
CHECKPOINT : 0X0
WAIT_HINT: 0X0
C:Documents and Settingsxxxxxxx(hook right)exit
Tja, en aangezien er standaard geen IDS in windows zit, kan een aanvaller inderdaad met een exploit gewoon binnenkomen. Lekker gevoel toch...windows (R.I.P)
Er wordt gesteld dat de op Windows XP door de aanval de ICS (Internet
Connection Sharing) dienst crasht en daarbij ook de firewall meeneemt.
De aanval kan alleen van het interne netwerk komen.
Het is nog niet bekend of ICS op Windows Server 2003 ook vatbaar is voor
een dergelijke aanval.
dit soort firewalls kwetsbaar voor dergelijke exploits
Gezien het feit dat dit over host based firewalls gaat. zijn in principe niet al dit soort firewalls kwetsbaar voor dergelijke exploits
ICS en de windows firewall maken (deels) gebruik van dezelfde services. Een crash wil echter niet altijd betekenen dat men dat ook kan exploiten. Een uitgeschakelde firewall kan echter wel andere services blootstellen die anders afgeschermd zouden zijn. Om die reden moet je dan ook niet gebruikte services uitschakelen (hardenen) en niet alleen op je firewall vertrouwen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
