למה לא מומלץ ליישם רשימות שחורות?

למה לא מומלץ ליישם רשימות שחורות? פשוט מאוד: ככה. 
רוצים דוגמה? אז ככה...

לפני מספר חודשים, דיווחתי כאן על הפוסט של Didier Stevens בשם "Escape From PDF".
בפוסט זה, הציג Didier, שיטה מעניינת המאפשרת לתוקף לנצל חולשה במנגנון ה-"Launch Action/".
 
אחרי הדיווח של Didier, חברת Adobe שחררה עדכון אבטחה  בנוגע לנושא.


אחרי מחקר קטן של Bkis, התברר שניתן לעקוף את המנגנון של Adobe באופן הבא:
/F(“cmd.exe”)

במקום (במקור)

/F(cmd.exe)

לאחר מחקר קטן נוסף של Didier, התברר ש-Adobe מימוש מנגנון פילטרינג לסיומות קבצים שמאוחסן ב-Registry
של מערכת ההפעלה תחת המפתח הבא:
  
 
[במקור: http://didierstevens.files.wordpress.com/2010/07/20100704-224329.png?w=544&h=285]
(במקור: http://didierstevens.files.wordpress.com/2010/07/20100704-224329.png?w=544&h=285
 
הבעיה היחידה היא שהמנגנון הזה מבוסס רשימה שחורה. מה שאומר- שכנראה שהוא לא שווה כלום.

כאמור, Bkis הצליח לבצע הרצה של קבצים בעלי סיומת "exe" על ידי ההפנייה בתוספת גרשיים- מפני שכך, הפילטר
של Adobe מבין כי מדובר בקובץ בעל סיומת ""exe" (אי.אקס.אי-גרש) ולא exe (אי.אקס.אי).

בהתחשב בעובדה הזאת Didier המליץ להוסיף לאותה רשימה את הסיומות:
.exe”

ולאחר מחקר קטן, גם את הסיומת:
.exe”"
 
באופן הבא:
[במקור: http://didierstevens.files.wordpress.com/2010/07/20100704-225019.png?w=400&h=185] 
(במקור: http://didierstevens.files.wordpress.com/2010/07/20100704-225019.png?w=400&h=185

וכאן זה מתחיל- בדיוק כמו כל מה שפילטר מבוסס רשימה שחורה מייצג- את המלחמה בין התוקפים למגנים, ותמיד
כדאי לזכור- שבכל מצב, התוקפים תמיד יקדימו את המגנים בלפחות שלושה צעדים.

אז עשיתי מחקר קטן, ומצאתי עוד דרך לעקוף את הפילטרינג, הפעם דרך הוספת רווח לפני הגרשיים, או ע"י הרצת
קבצי COM:
 
הרווח לאחר הרגשיים:
/F (“cmd.exe “)

והרצת ה-Command.com:
/F (“command.com”)
 
או כמובן- שילוב של שניהם. 

וכמו שכתבתי בבלוג של Didier- אין מנוס. הם חייבים לבסס את המנגנון הזה על רשימות לבנות.


תגובות על 'למה לא מומלץ ליישם רשימות שחורות?':



#1 

m1ch43l1014 (אורח):
מעניין אז עדיין התקיפה בתוקף
05.07.2010 17:09:10

#2 

cp77fk4r:
בהחלט.
05.07.2010 17:22:58

#3 

m1ch43l1014 (אורח):
אני כבר מחכה שתגיעו למספר 0x29a בURL חחח [;
05.07.2010 18:07:37

#4 

cp77fk4r:
יש עוד זמן!
05.07.2010 19:03:49

#5 

SeresU (אורח):
חחח,זה דווקא דיי מצחיק,ציפתי מהם ליותר ...
הדבר הראשון שלומדים בכל מה קשור לאבטחה זה לא לעשות Black Listing.
ואם כבר עושים,אז לא בצורה המטומטמת הזו.
נחכה לעדכון הבא שלהם :D

תודה!
06.07.2010 13:15:15

#6 

cp77fk4r:
יאפ', למרות שדווקא יש מקרים שבהם פתרונות מבוססי רשימה שחורה כן יכולים לעזור (קשה לי לחשוב על דוגמה ת'אחלס). לטווח הקרוב, רשימות שחורות נראות כפתרון הנכון- לא דורשות יותר מדי פיתוח ונראה כאילו אי אפשר לעקוף אותן, אך כאשר מסתכלים על הטווח הרחוק- ניתן להבין ישר כי מדובר בפתרון שברב המקרים יחשב כשטותי.
06.07.2010 14:54:04

#7 

iTK98se (אורח):
הם ככל הנראה עסוקים יותר בקרב שלהם מול אפל.

הפתרון שהם סיפקו נראה כמו "טלאי" אמיתי, הם לא באמת טיפלו בבעיה, אלא רק לכאורה. בנוסף לקח להם יותר מדי זמן לשחרר טלאי אבטחה לנגן פלאש שלהם, מה נסגר עם החברה הזאת, ולמה זה כך בכל חברה קניינית. בגדול היה טלאי שטיפל בבעיה בעץ DEV דיי מהר, האם הנסיונות של הגירסה היציבה זה מה שמעקב את השיחרור?
07.07.2010 05:19:05

#8 

cp77fk4r:
נראה שקמת על הצד הנחמד שלך הבוקר, אה?
ונקווה שאתה צודק :)
07.07.2010 13:33:25

#9 

cp77fk4r:
אולי זה יציל את המצב? למרות שדעתי האישית היא שהמנגנון יפרץ תוך זמן קצר יחסית..

http://threatpost.com/en_us/blogs/protected-mode-brings-sandbox-adobe-reader-072010
21.07.2010 11:42:23

#10 

Oink (אורח):
לפי איך שזה נראה כל שבוע מתפרסמת חולשה קריטית חדשה... זה כבר נהפך למשהו שיטתי!
23.08.2010 20:46:37

#11 

cp77fk4r:
יאפ'.
ואגב, באותו נושא- בסופ"ש האחרון פורסם עדכון שאמור לסדר "סופית" את הבעיה הזאת: http://blog.bkis.com/en/adobe-fixed-launch-fucntion-vulnerability/
24.08.2010 15:29:46



הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2017 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.