Just nu i M3-nätverket
Gå till innehåll
Eforum är stängt för nya inlägg och svar sedan 20 juni 2022. Klicka för att läsa vad som hände och om alternativ.

angående brandvägg...

Lumpa1

Startad av Lumpa1 ,
i Virus, skadliga program & botemedel

Rekommendera Poster

Lumpa1

Lumpa1

Postad
Postad

Jag har installerat Norton Personal firewall, och efter ett par dagars användande kom en varning om att programet "lsass.exe" ville ha tillgång till en av mina portar. Jag undrar vad detta är för program, och vilka man ska ge respektive inte ge full åtkomst för att bibehålla bra säkerhet?

Förövrigt kör jag Win2k pro.

Länk till kommentar
Dela på andra webbplatser
Kraantz

Kraantz

Postad
Postad

Inte för att jag vet vad det är, men normalt ska du inte låta ett okänt program få åtkomst genom brandväggen. Om du går in på Options/ internet security i Norton, samt väljer View Event Log.I denna kan du förhoppningsvis hitta lite info om vad du blockerat.

 

Länk till kommentar
Dela på andra webbplatser
Blekis ®

Blekis ®

Postad
Postad
Jag har installerat Norton Personal firewall, och efter ett par dagars användande kom en varning om att programet "lsass.exe" ville ha tillgång till en av mina portar. Jag undrar vad detta är för program, och vilka man ska ge respektive inte ge full åtkomst för att bibehålla bra säkerhet?

 

Det är prylen som loggar på dig. På en dator för normalt hembruk; bör den näppeligen ha internetaccess - du är ju själv redan påloggad ;) Ho, HO, who's out there ?

 

Dessutom går den att "hi-jacka", av den kunnige och illvillige. Beskrivning av problemet nedanför(givetvis talar jag inte om HUR man gör). Enligt MS är problemet löst iom SP2, men vem vet ?

 

 

 

COMMAND

 

kernel

 

SYSTEMS AFFECTED

 

Win2K

 

PROBLEM

 

Following is based on a Georgi Guninski security advisory #45.

If someone can execute programs on a target Win2K system then he

may elevate his privileges at least to extent which gives him

write access to C:\WINNT\SYSTEM32 and HKCR.

 

The problem is the x86 debug registers DR0-7 are global for all

processes. So setting a hardware breakpoint in one process

affects other processes and services. If the hardware breakpoint

is hit in a service then an unhandled single step exception

occurs and the process/service is terminated. After the service

is terminated it is possible to hijack its trusted named pipes

and when another service writes to the named pipe it is possible

to impersonate the service. In my exploit pipe3.cpp LSASS.EXE is

killed with the help of hardware breakpoint and then

\\.\pipe\lsass is hijacked.

 

Simple test for debug registers.

Start debugging CALC.EXE with windbg. Set hardware breakpoint on

memory write to the current value of ESP. Start taskmgr.exe and

wait some time. If you start receiving Single Step exception

with dialog boxes and/or BSOD in processess other than CALC.EXE

then there is vulnerability.

 

 

 

/PaleRider

- Mandrake Linux 8.0 är ute nu, MS Windows är mer än ute...

Länk till kommentar
Dela på andra webbplatser
LarsW

LarsW

Postad
Postad
Det är prylen som loggar på dig. På en dator för normalt hembruk; bör den näppeligen ha internetaccess - du är ju själv redan påloggad ;) Ho, HO, who's out there ?

 

Är det bara jag som inte förstår hans inlägg?

 

 

 

 

Länk till kommentar
Dela på andra webbplatser

Arkiverat

Det här ämnet är nu arkiverat och är stängt för ytterligare svar.

Gå till ämneslista


×
×
  • Skapa nytt...