ATGuard个人防火墙outbound连接漏洞
/ns/ld/softld/data/20020513023905.htm
涉及程序:
ATGuard
描述:
ATGuard个人防火墙outbound连接漏洞
详细:
ATGuard是一款非常好的个人桌面放火墙,曾被美国政府计算机新闻杂志编辑评选为最佳实用软件奖。
它运行于windows操作系统之上,除了提供一般的防火墙功能外,还提供网站过滤功能,个人隐私保护功能等。通过它用户可以自动过滤网页中的广告,也可以自己定义新的过滤条件。另外还能够察看当前的所有网络连接,以及数据流量等等相当多的功能。因此被强烈推荐使用。
但ATGuard常常因为某些应用程序而开放了一些特定的连接。比如,大部分的用户使用IE浏览非标准web服务器时需要运行一些应用程序,ATGuard打开80端口向外(outbound)的连接,而且ATGuard也没有保存文件路径,没有使用checksums去检测运行的程序是否是恶意的。这将导致攻击者可以利用此漏洞开放防火墙由内向外(outbound)连接的80端口。
IMPACT
ATGuard能被攻击者欺骗允许禁止运行的程序连接网络。特洛伊木马就可利用向外的连接或使用HTTP-Tunneling-Software打通已经被阻塞的连接(比如ICQ)。
.
EXPLOIT
利用这个漏洞有许多不同的方法,这儿有一个让被禁止的ICQ启动的简单例子:
在这台机器上仅仅IE被允许连接80端口,所有其它由里向外(outbound)的连接都被ATGuard阻塞了。如果从www.HTTP-Tunnel.com下载HTTP-Tunnel-Client,并且安装它到你的机器上,当你尝试着去配置它时,将会出现对话框,告诉你无法发现HTTP-Tunnel-Server.。但是如果重命名/拷贝文件"HTTP-Tunnel Client.exe" 为 "IEXPLORE.EXE"。过一会再使用"IEXPLORE.EXE"时,就会告诉你使用正常了。
解决方案:
因为这是AtGuard最后一版,并且该产品已被Norton收购,所以目前还没有很好的解决方案