16.01.2007 (16.40)
User die die Software Outpost Firewall benutzen, aufgepasst. Es gibt eine schwere Sicherheitslücke, für die es noch kein Update gibt.
Outpost–Firewall mit Sicherheitslücke
Das Sicherheitsunternehmen Matousec stellte einen Schadcode vor, der die Outpost-Firewall und dessen Selbstschutz aushebeln kann.
Outpost-Firewall nutzt einen Kernel-Treiber (sandbox.sys), der sich in zahlreiche Systemfunktionen einklinkt, um die eigenen Dateien vor dem Zugriff durch andere Programme zu schützen. Allerdings hat Agnitum die Funktion ZwSetInformationFile übersehen. Dadurch ist es Angreifern möglich, mit dem direkten Aufruf dieser Systemfunktion Dateien zu ersetzen – auch den Treiber sandbox.sys.
Der in der Sicherheitsmeldung vorgestellte Schadcode ersetzt sandbox.sys durch eine gefälschte Version des Treibers, der sich nicht in Funktionen des Windows-Kerns einklinkt. Das deaktiviert den Selbstschutz von Outpost nach einem Rechnerneustart. Dann lässt sich das Installationsverzeichnis fast vollständig löschen, sodass die Firewall nicht mehr funktioniert.
Die Firma Agnitum konnte bisher kein geeignetes Update zur Verfügung stellen.
Da der Schadcode Administratorrechte benötigt, um sich auszubreiten, kann man nur raten, bis zum Erscheinen eines Sicherheitsupdates, unter einem Benutzerkonto mit eingeschränkten Rechten, zu arbeiten.
Quelle: Heise Online
Agnitum – Online Site der Software Outpost-Firewall