Malware passeert firewall via Windows-downloadservice
Geplaatst: 11 mei 2007, 15:55
De makers van malware misbruiken de background intelligent transfer service (bits) om kwaadaardige bestanden langs een firewall te smokkelen. Dit constateerde beveiligingsbedrijf Symantec na het bestuderen van enkele trojans die eind maart in Duitsland opdoken.
<img src="http://upload.userbase.be/upload/1178884571.jpg" align="right" width="205" height="148">Bits wordt als downloadservice onder andere gebruikt door Windows Update voor het ophalen van patches en door Windows Live Messenger voor het versturen van bestanden. De component is standaard beschikbaar in Windows XP, Vista en Server 2003, en kan op de achtergrond bestanden binnenhalen via het http-protocol. Via een api kan bits actief geprogrammeerd worden, en van deze gelegenheid maken de trojans dankbaar gebruik om zo hun malware een Windows-computer binnen te kunnen smokkelen. Omdat het component een integraal onderdeel is van Windows, wordt het door beveiligingssoftware vertrouwd en malware glipt daardoor ongemerkt langs een firewall. Volgens Symantec is er op dit moment geen mogelijkheid om deze methode actief te bestrijden. Het bedrijf zegt dat bits eigenlijk alleen toegankelijk zou mogen zijn voor applicaties met een hoger privilege of dat bits alleen van vooraf goedgekeurde url's zou mogen downloaden. Opvallend is dat voorbeeldcode voor deze 'antifirewall-loader' al in 2006 in een Russisch hackersforum opdook en inmiddels goed gedocumenteerd is.
Bron: Tweakers.net van 11 mei 2007
<img src="http://upload.userbase.be/upload/1178884571.jpg" align="right" width="205" height="148">Bits wordt als downloadservice onder andere gebruikt door Windows Update voor het ophalen van patches en door Windows Live Messenger voor het versturen van bestanden. De component is standaard beschikbaar in Windows XP, Vista en Server 2003, en kan op de achtergrond bestanden binnenhalen via het http-protocol. Via een api kan bits actief geprogrammeerd worden, en van deze gelegenheid maken de trojans dankbaar gebruik om zo hun malware een Windows-computer binnen te kunnen smokkelen. Omdat het component een integraal onderdeel is van Windows, wordt het door beveiligingssoftware vertrouwd en malware glipt daardoor ongemerkt langs een firewall. Volgens Symantec is er op dit moment geen mogelijkheid om deze methode actief te bestrijden. Het bedrijf zegt dat bits eigenlijk alleen toegankelijk zou mogen zijn voor applicaties met een hoger privilege of dat bits alleen van vooraf goedgekeurde url's zou mogen downloaden. Opvallend is dat voorbeeldcode voor deze 'antifirewall-loader' al in 2006 in een Russisch hackersforum opdook en inmiddels goed gedocumenteerd is.
Bron: Tweakers.net van 11 mei 2007
