Баг в Agnitum Outpost firewall

Тема в разделе "WASM.WIN32", создана пользователем Ms Rem, 9 янв 2006.

  1. Ms Rem

    Ms Rem New Member

    Публикаций:
    0
    Регистрация:
    17 апр 2005
    Сообщения:
    1.057
    Адрес:
    С планеты "Земля"
    Сегодня случайно наткнулся на баг в драйвере OutpostFirewall в обработчике хука ZwWriteVirtualMemory.

    Этот баг приводит к бсоду.

    В атаче пример эксплоита провереного на Outpost Firewall Pro ver. 3.0.543.5722 (431)

    Для работы эксплоита нужно наличие любого правила для процесса explorer.exe.

    Если кто-нить еще тут пользуется оутпостом, то прошу проверить наличие бага в других версиях.

    [​IMG] 1225713490__OutFake.exe
     
  2. GerakakL2

    GerakakL2 New Member

    Публикаций:
    0
    Регистрация:
    8 янв 2006
    Сообщения:
    4
    а что должно произойти при запуске эксплоита



    Outpost Firewall Pro ver. 2.7.485.5401 (412)



    привила для explorer.exe есть



    при запуске ничего не происходит
     
  3. readme

    readme New Member

    Публикаций:
    0
    Регистрация:
    2 июл 2005
    Сообщения:
    271
    Адрес:
    Russia
    вторая версия, вроде держится непадая
     
  4. GerakakL2

    GerakakL2 New Member

    Публикаций:
    0
    Регистрация:
    8 янв 2006
    Сообщения:
    4
    черт - поймал всё таки bsod



    правила были выключены у explorer.exe



    после включения и запуска exploita bsod



    типа ошибка написало в FILTNT.SYS
     
  5. bbuc

    bbuc New Member

    Публикаций:
    0
    Регистрация:
    19 май 2004
    Сообщения:
    20
    Outpost Firewall Pro v.3.0.557.5918 (437)

    Windows XP без сервиспаков

    при запуске BSOD
     
  6. KAdot

    KAdot New Member

    Публикаций:
    0
    Регистрация:
    27 фев 2005
    Сообщения:
    38
    >> ошибка написало в FILTNT.SYS

    самое интересное что у меня в BSOD с ошибкой FILTNT.SYS вываливется с периодичностью этак раз в 2 месяца, это как раньше на второй версии было, так и сейчас на третье и без эксплоита :)
     
  7. netw0rm

    netw0rm New Member

    Публикаций:
    0
    Регистрация:
    6 ноя 2005
    Сообщения:
    78
    У меня Outpost и без сплоита бсодил. Ему чем-то не нравились драйвера моего модема.
     
  8. Drakon

    Drakon New Member

    Публикаций:
    0
    Регистрация:
    24 сен 2004
    Сообщения:
    85
    Адрес:
    Russia
    Да, Outpost глючная вещь. У меня Apache2+MySQL стоит и сайтик, который довольно часто посещают. Так вот я бсоды ловил по несколько раз в день от tcpip.sys. Как потёр OutPost - сразу всё гуд.
     
  9. Sickle

    Sickle New Member

    Публикаций:
    0
    Регистрация:
    11 июл 2003
    Сообщения:
    181
    Ms Rem

    так а суть бага в чем?
     
  10. Ms Rem

    Ms Rem New Member

    Публикаций:
    0
    Регистрация:
    17 апр 2005
    Сообщения:
    1.057
    Адрес:
    С планеты "Земля"


    Драйвер оутпоста обращается к юзермодной памяти без проверки указателей. Происходит это при формировании строки с дампом куска памяти инжектящегося в процесс для которого есть правило. Вот дизасм бижного участка драйвера:


    Код (Text):
    1. .text:00017D88                 xor     ebx, ebx
    2. .text:00017D8A                 test    edi, edi
    3. .text:00017D8C                 jle     short loc_17DB3
    4. .text:00017D8E                 lea     esi, [ebp-0B0h]
    5. .text:00017D94
    6. .text:00017D94 loc_17D94:                              ; CODE XREF: sub_17B90+221.j
    7. .text:00017D94                 xor     eax, eax
    8. .text:00017D96                 mov     ecx, [ebp+14h]
    9. [b].text:00017D99              mov     al, [ecx+ebx][/b]
    10. .text:00017D9C                 inc     ebx
    11. .text:00017D9D                 push    eax
    12. .text:00017D9E                 push    offset a02x     ; "%02X "
    13. .text:00017DA3                 push    esi
    14. .text:00017DA4                 add     esi, 3
    15. .text:00017DA7                 call    sprintf
    16. .text:00017DAC                 add     esp, 0Ch
    17. .text:00017DAF                 cmp     ebx, edi
    18. .text:00017DB1                 jl      short loc_17D94
     
  11. Sickle

    Sickle New Member

    Публикаций:
    0
    Регистрация:
    11 июл 2003
    Сообщения:
    181
    Ms Rem

    хм.. а где эта строка используется? вроде как не выводится никуда...
     
  12. CARDINAL

    CARDINAL Member

    Публикаций:
    0
    Регистрация:
    23 янв 2004
    Сообщения:
    551
    Адрес:
    Moscow
    Sickle



    запусти Dbgview и посмотри )
     
  13. Guest

    Guest Guest

    Публикаций:
    0
    Просвятите плиз, такого типа эксплоиты носят чисто террористический характер, или его можно как-то использовать в целях повышения привилегий (выполнения базонезависимого кода и т.д.) ?



    Я конечно с эксплоитами не знаком, но помоему тут полезных действий не сделаешь.
     
  14. Jupiter

    Jupiter Jupiter

    Публикаций:
    0
    Регистрация:
    12 авг 2004
    Сообщения:
    532
    Адрес:
    Russia
    Ms Rem

    поиск в Google "IRQ_NOT_LESS_OR_EQUAL Outpost" даёт много интересных ссылок

    у меня в своё время регулярно вылетал аутпост с BSOD, но разработчики в течение нескольких месяцев (!) утверждали, что ошибка исправлена, хотя файрвол также продолжал слетать в Filtnt.sys



    Corleone

    а DoS?
     
  15. Saint German

    Saint German New Member

    Публикаций:
    0
    Регистрация:
    13 сен 2003
    Сообщения:
    222
    Jupiter

    Ты скажи мне, а каком-таком DoS ты говоришь, в контексте информации о этой уязвимости, которую дал нам мсрем?
     
  16. REFERI

    REFERI New Member

    Публикаций:
    0
    Регистрация:
    15 янв 2006
    Сообщения:
    7
    Запускаю эксплоит - ничего

    Запускаю второй раз - результат - синий экран, ошибка FILTNT.SYS

    Сплоит не работает с первого раза - глючный :) ГЫ

    Win XP SP2

    Outpost Firewall Pro ver. 3.0.557.5918 (437)
     
  17. netw0rm

    netw0rm New Member

    Публикаций:
    0
    Регистрация:
    6 ноя 2005
    Сообщения:
    78
    К Сплоиту приделайте батник которй будет запускать сплоит до посинения. В прямом смысле =)
     
  18. Nimnul

    Nimnul New Member

    Публикаций:
    0
    Регистрация:
    21 фев 2005
    Сообщения:
    136
    Адрес:
    не Китай
    Баг пофиксили еще вчера