Баг в Agnitum Outpost firewall

Сегодня случайно наткнулся на баг в драйвере OutpostFirewall в обработчике хука ZwWriteVirtualMemory.

Этот баг приводит к бсоду.

В атаче пример эксплоита провереного на Outpost Firewall Pro ver. 3.0.543.5722 (431)

Для работы эксплоита нужно наличие любого правила для процесса explorer.exe.

Если кто-нить еще тут пользуется оутпостом, то прошу проверить наличие бага в других версиях.

1225713490__OutFake.exe

 

а что должно произойти при запуске эксплоита



Outpost Firewall Pro ver. 2.7.485.5401 (412)



привила для explorer.exe есть



при запуске ничего не происходит

 

вторая версия, вроде держится непадая

 

черт - поймал всё таки bsod



правила были выключены у explorer.exe



после включения и запуска exploita bsod



типа ошибка написало в FILTNT.SYS

 

Outpost Firewall Pro v.3.0.557.5918 (437)

Windows XP без сервиспаков

при запуске BSOD

 

>> ошибка написало в FILTNT.SYS

самое интересное что у меня в BSOD с ошибкой FILTNT.SYS вываливется с периодичностью этак раз в 2 месяца, это как раньше на второй версии было, так и сейчас на третье и без эксплоита

 

У меня Outpost и без сплоита бсодил. Ему чем-то не нравились драйвера моего модема.

 

Да, Outpost глючная вещь. У меня Apache2+MySQL стоит и сайтик, который довольно часто посещают. Так вот я бсоды ловил по несколько раз в день от tcpip.sys. Как потёр OutPost - сразу всё гуд.

 

Ms Rem

так а суть бага в чем?

 

Драйвер оутпоста обращается к юзермодной памяти без проверки указателей. Происходит это при формировании строки с дампом куска памяти инжектящегося в процесс для которого есть правило. Вот дизасм бижного участка драйвера:

Код (Text):

1. .text:00017D88                 xor     ebx, ebx
2. .text:00017D8A                 test    edi, edi
3. .text:00017D8C                 jle     short loc_17DB3
4. .text:00017D8E                 lea     esi, [ebp-0B0h]
5. .text:00017D94
6. .text:00017D94 loc_17D94:                              ; CODE XREF: sub_17B90+221.j
7. .text:00017D94                 xor     eax, eax
8. .text:00017D96                 mov     ecx, [ebp+14h]
9. [b].text:00017D99              mov     al, [ecx+ebx][/b]
10. .text:00017D9C                 inc     ebx
11. .text:00017D9D                 push    eax
12. .text:00017D9E                 push    offset a02x     ; "%02X "
13. .text:00017DA3                 push    esi
14. .text:00017DA4                 add     esi, 3
15. .text:00017DA7                 call    sprintf
16. .text:00017DAC                 add     esp, 0Ch
17. .text:00017DAF                 cmp     ebx, edi
18. .text:00017DB1                 jl      short loc_17D94

 

Ms Rem

хм.. а где эта строка используется? вроде как не выводится никуда...

 

Sickle



запусти Dbgview и посмотри )

 

Просвятите плиз, такого типа эксплоиты носят чисто террористический характер, или его можно как-то использовать в целях повышения привилегий (выполнения базонезависимого кода и т.д.) ?



Я конечно с эксплоитами не знаком, но помоему тут полезных действий не сделаешь.

 

Ms Rem

поиск в Google "IRQ_NOT_LESS_OR_EQUAL Outpost" даёт много интересных ссылок

у меня в своё время регулярно вылетал аутпост с BSOD, но разработчики в течение нескольких месяцев (!) утверждали, что ошибка исправлена, хотя файрвол также продолжал слетать в Filtnt.sys



Corleone

а DoS?

 

Jupiter

Ты скажи мне, а каком-таком DoS ты говоришь, в контексте информации о этой уязвимости, которую дал нам мсрем?

 

Запускаю эксплоит - ничего

Запускаю второй раз - результат - синий экран, ошибка FILTNT.SYS

Сплоит не работает с первого раза - глючный ГЫ

Win XP SP2

Outpost Firewall Pro ver. 3.0.557.5918 (437)

 

К Сплоиту приделайте батник которй будет запускать сплоит до посинения. В прямом смысле =)

 

Баг пофиксили еще вчера