A networkworld.com cikke szerint azok a teljesen felpatch-elt Windows XP-k sebezhetők, amelyeken fut az Windows Internet Connection Service (ICS) szolgáltatása is (alapértelmezetten nincs bekapcsolva?). Ha támadó egy speciálisan formázott csomagot küld az ICS-t futtató Windows XP-nek, akkor a szolgáltatás lehal. Mivel az ICS kapcsolatban van a Windows XP beépített tűzfal-szolgáltatásával, magával rántja az is. A Windows Server 2003-ban található tűzfal a rendelkezésre álló infók szerint nem érintett a hibában.
Noha nem mindegyik cikk tér ki erre a részletre, de az explitot tanulmányozva úgy tűnik, hogy az ICS-t futtató gépet csak a belső hálózat felöl lehet ezzel a technikával támadni.
- A hozzászóláshoz be kell jelentkezni
- 5097 megtekintés
Hozzászólások
Ha leállítom az ICS-t, kikapcsol a tűzfal is. Ha engedélyezem a tűzfalat a biztonsági központban, elindítja az ICS-t is. Szóval nem értem, hogy lehet default kikapcsolt.
Persze ha csak belső hálóról támadható, azért nem olyan nagy probléma...
- A hozzászóláshoz be kell jelentkezni
"and, of course, it would only work on systems using ICS, which is disabled by default."
Én is utánanéztem direkt, mert én is úgy emlékeztem, hogy fut. Nekem futott. De mivel a linkelt cikk említette, ezért tettem oda kérdőjelet (nem voltam benne biztos, hogy korábban nem én indítottam el)
(Egyébként nem tartozik ide szorosan, de azt hiszem viszont, hogy Windows Server 2003-on alapból nem fut az ICS, mert ott rá is kérdez, hogy el akarod-e indítani. Lehet, hogy ezzel keverte a cikk írója).
"Persze ha csak belső hálóról támadható, azért nem olyan nagy probléma..."
Jah, ezért írtam a cikket, mert sok helyen ezt nem említik, csak azt, hogy lekapcsolható.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
"Persze ha csak belső hálóról támadható, azért nem olyan nagy probléma..."
Ezzel azért nem teljesen értek egyet... Egy belső hálóba becsúsztatni egy botot azért nem olyan nehéz feladat, a többit pedig elvégzi a bot...
Persze, ha valaki csak a windows tűzfalát használja.... hát.... :)
- A hozzászóláshoz be kell jelentkezni
Ebben van valami, de legalább a sok otthoni felhasználó nem érintett. Ahol van belső háló, ott remélhetőleg van normális tűzfal és/vagy rendszergazda.
- A hozzászóláshoz be kell jelentkezni
De csak olyan gépen, aminek kifele internet kapcsolata van, és azt befele megosztja. Ebből azért kevebb van, mint simán tűzfalas gépből.
Abban igazad van, hogy bajnak minden bug baj, viszont ez azért jóval kisebb, mintha egy "mágikus" packet-tel kívülről le lehetne kapcsolni a tűzfalat.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Egy Nyilas Misi-csomaggal. :)
--
Sokan nincsenek tudatában annak, / hogy egyszer mindenki meghal. / Akik ráébrednek erre, / azonnal abbahagyják az ellenségeskedést.
- A hozzászóláshoz be kell jelentkezni
Nyilas Misi patch-et kapott :)
- A hozzászóláshoz be kell jelentkezni
Hat, emlekeim szerint a "Computer Security Handbook" vastag betukkel figyelmeztet, hogy az egyik legnagyobb tevedes amit el lehet kovetni, az pont az, hogy sok ember azt hiszi, belulrol valo tamadas valoszinusege elhanyagolhato, ezert nem is foglalkoznak vele igazan (vagy joval kevesbe).
- A hozzászóláshoz be kell jelentkezni
hahah, pedig lanon lehet igen szépeket szopni. :-D
--
Gentoo motto: It's worth spending eight hours trying to make something load 20ns faster.
- A hozzászóláshoz be kell jelentkezni
Ahol nagyobb LAN van, ott ritkán oszt internetet XP. Otthoni (ahol ilyen előferdül) hálón meg azért nem nagy az esélye, hogy téged b..szogatnak.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Most végülis mit jelent az hogy belső hálóról egy mezei otthoni embernek? Hogy helyi IP tartományról lehet csak lefuttatni az exploitot vagy mi? Ez nekem most kicsit homály, mi lenne a különbség egy ADSL kapcsolatból szerzett IP felöl a hálózati csatlakozásra futtatni mint egy másik LAN-os gépről? Vagy hülyén látom a dolgokat?
- A hozzászóláshoz be kell jelentkezni
Exploit(192.168.0.2) --> Microsoft NAT(192.168.0.1) --> [..Internet..]
Az ICS-t kell DOS-olni, az meg szerintem csak a shared interfészen hallgat. Kívülről nem éred el.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Az exploit az ICS DNS forward/cache szerverét támadja, ami csak a lokális háló felé néző interfészen hallgat, a megosztott (WAN) interfészen nem.
- A hozzászóláshoz be kell jelentkezni
Akkor megvilágosodtam, köszönöm.
- A hozzászóláshoz be kell jelentkezni
A belső háló lehet virtuális is? Vagy csak fizika? Hamachira gondolok...
- A hozzászóláshoz be kell jelentkezni
Mivel az ICS kapcsolatban van a Windows XP beépített tűzfal-szolgáltatásával, magával rántja az is.
Gyakorlatilag egy service
- A hozzászóláshoz be kell jelentkezni
Lám lám... újabb és újabb érdekességek derülnek ki.
Ám ettől még a "Windows sosem volt ilyen biztonságos..." Sőt! "Csúcs az adatvédelemben, a biztonságban és a biztonságosságban..."
Bocs, hogy nem tudtam szó szerint idézni a reklámszöveget amit 5éve kiír minden telepítésnél a windows. No, de van aki ezt jobban ismeri nálam hiszen a reinstalloknál is olvassa...
- A hozzászóláshoz be kell jelentkezni
Nagyapa... Minek? Nagyon uncsi ez már :)
Attól, hogy sokszor elmondod jobb nem lesz, többen nem fogják úgy gondolni, hogy szarabb, szóval nem sok értelme van...
- A hozzászóláshoz be kell jelentkezni
DE DE ezek BRAND NEW 0DAY fontos infok!!1
- A hozzászóláshoz be kell jelentkezni