Just nu i M3-nätverket
Jump to content

angående brandvägg...


Lumpa1

Recommended Posts

Jag har installerat Norton Personal firewall, och efter ett par dagars användande kom en varning om att programet "lsass.exe" ville ha tillgång till en av mina portar. Jag undrar vad detta är för program, och vilka man ska ge respektive inte ge full åtkomst för att bibehålla bra säkerhet?

Förövrigt kör jag Win2k pro.

Link to comment
Share on other sites

Inte för att jag vet vad det är, men normalt ska du inte låta ett okänt program få åtkomst genom brandväggen. Om du går in på Options/ internet security i Norton, samt väljer View Event Log.I denna kan du förhoppningsvis hitta lite info om vad du blockerat.

 

Link to comment
Share on other sites

Jag har installerat Norton Personal firewall, och efter ett par dagars användande kom en varning om att programet "lsass.exe" ville ha tillgång till en av mina portar. Jag undrar vad detta är för program, och vilka man ska ge respektive inte ge full åtkomst för att bibehålla bra säkerhet?

 

Det är prylen som loggar på dig. På en dator för normalt hembruk; bör den näppeligen ha internetaccess - du är ju själv redan påloggad ;) Ho, HO, who's out there ?

 

Dessutom går den att "hi-jacka", av den kunnige och illvillige. Beskrivning av problemet nedanför(givetvis talar jag inte om HUR man gör). Enligt MS är problemet löst iom SP2, men vem vet ?

 

 

 

COMMAND

 

kernel

 

SYSTEMS AFFECTED

 

Win2K

 

PROBLEM

 

Following is based on a Georgi Guninski security advisory #45.

If someone can execute programs on a target Win2K system then he

may elevate his privileges at least to extent which gives him

write access to C:\WINNT\SYSTEM32 and HKCR.

 

The problem is the x86 debug registers DR0-7 are global for all

processes. So setting a hardware breakpoint in one process

affects other processes and services. If the hardware breakpoint

is hit in a service then an unhandled single step exception

occurs and the process/service is terminated. After the service

is terminated it is possible to hijack its trusted named pipes

and when another service writes to the named pipe it is possible

to impersonate the service. In my exploit pipe3.cpp LSASS.EXE is

killed with the help of hardware breakpoint and then

\\.\pipe\lsass is hijacked.

 

Simple test for debug registers.

Start debugging CALC.EXE with windbg. Set hardware breakpoint on

memory write to the current value of ESP. Start taskmgr.exe and

wait some time. If you start receiving Single Step exception

with dialog boxes and/or BSOD in processess other than CALC.EXE

then there is vulnerability.

 

 

 

/PaleRider

- Mandrake Linux 8.0 är ute nu, MS Windows är mer än ute...

Link to comment
Share on other sites

Det är prylen som loggar på dig. På en dator för normalt hembruk; bör den näppeligen ha internetaccess - du är ju själv redan påloggad ;) Ho, HO, who's out there ?

 

Är det bara jag som inte förstår hans inlägg?

 

 

 

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...