JensusUT
Senior Member
Fehler in Kerio Personal Firewall (Heise.de):
in Fehler in der Kerio Personal Firewall (KPF) ermöglicht es lokalen Anwendungen, die "Program Execution Protection" zu umgehen und weitere Prozesse ohne Benutzernachfrage zu starten. Die Funktion dient eigentlich dazu, das System vor der Ausführung unbekannter oder modifizierter Software zu schützen und ist durch das Umbiegen von API-Einsprüngen in der Service Descriptor Table (SDT) im Kernel-Space realisiert. Der Schutz lässt sich nach Angaben von Tan Chew Keong aber einfach umgehen, in dem ein Schädling einfach die SDT durch das Schreiben in \device\physicalmemory restauriert. Ein Exploit ist dem Advisory beigefügt. Die Firewall-Funktion wird dadurch aber nicht beeinträchtigt.
Der Fehler wurde in der aktuellen Version 4.0.16 gefunden, andere Versionen dürften das Problem ebenfalls aufweisen. Der Hersteller hat noch keinen Patch zur Verfügung gestellt.
Einmal mehr zeigt sich hier die grundsätzliche Schwäche von Personal Firewalls: Ist ein Schädling erst in das System eingedrungen, kann man ihm nur noch wenig entgegensetzen. Insbesondere dann, wenn der Anwender mit Administrator-Rechten arbeitet, verfügt der Eindringling meist über die gleichen Rechte und kann die gleichen Aktionen vornehmen, beispielsweise die Firewall ganz abschalten. Eine Personal Firewall kann nur ein Sicherheitselement sein, um Schädlinge draußen zu halten -- ein Virenscanner ist ebenfalls erforderlich. Auch die mit Service Pack 2 runderneuerte XP-Firewall schützt nicht vor eingeschleusten bösartigen Programmen, die versuchen, heimlich Hintertürchen zu öffnen.
Personal Firewalls schützen aber weiterhin sehr gut vor Angriffen aus dem Internet, da sie ungewollte eingehende Verbindungen blockieren können. Grundsätzlich sollten sich Anwender nicht auf die Sicherheitsfunktionen verlassen und keine ungeprüften Programme starten.
in Fehler in der Kerio Personal Firewall (KPF) ermöglicht es lokalen Anwendungen, die "Program Execution Protection" zu umgehen und weitere Prozesse ohne Benutzernachfrage zu starten. Die Funktion dient eigentlich dazu, das System vor der Ausführung unbekannter oder modifizierter Software zu schützen und ist durch das Umbiegen von API-Einsprüngen in der Service Descriptor Table (SDT) im Kernel-Space realisiert. Der Schutz lässt sich nach Angaben von Tan Chew Keong aber einfach umgehen, in dem ein Schädling einfach die SDT durch das Schreiben in \device\physicalmemory restauriert. Ein Exploit ist dem Advisory beigefügt. Die Firewall-Funktion wird dadurch aber nicht beeinträchtigt.
Der Fehler wurde in der aktuellen Version 4.0.16 gefunden, andere Versionen dürften das Problem ebenfalls aufweisen. Der Hersteller hat noch keinen Patch zur Verfügung gestellt.
Einmal mehr zeigt sich hier die grundsätzliche Schwäche von Personal Firewalls: Ist ein Schädling erst in das System eingedrungen, kann man ihm nur noch wenig entgegensetzen. Insbesondere dann, wenn der Anwender mit Administrator-Rechten arbeitet, verfügt der Eindringling meist über die gleichen Rechte und kann die gleichen Aktionen vornehmen, beispielsweise die Firewall ganz abschalten. Eine Personal Firewall kann nur ein Sicherheitselement sein, um Schädlinge draußen zu halten -- ein Virenscanner ist ebenfalls erforderlich. Auch die mit Service Pack 2 runderneuerte XP-Firewall schützt nicht vor eingeschleusten bösartigen Programmen, die versuchen, heimlich Hintertürchen zu öffnen.
Personal Firewalls schützen aber weiterhin sehr gut vor Angriffen aus dem Internet, da sie ungewollte eingehende Verbindungen blockieren können. Grundsätzlich sollten sich Anwender nicht auf die Sicherheitsfunktionen verlassen und keine ungeprüften Programme starten.
