ATGuard个人防火墙outbound连接漏洞

/ns/ld/softld/data/20020513023905.htm

涉及程序：
ATGuard

描述：
ATGuard个人防火墙outbound连接漏洞

详细：
ATGuard是一款非常好的个人桌面放火墙，曾被美国政府计算机新闻杂志编辑评选为最佳实用软件奖。

它运行于windows操作系统之上，除了提供一般的防火墙功能外，还提供网站过滤功能，个人隐私保护功能等。通过它用户可以自动过滤网页中的广告，也可以自己定义新的过滤条件。另外还能够察看当前的所有网络连接，以及数据流量等等相当多的功能。因此被强烈推荐使用。

但ATGuard常常因为某些应用程序而开放了一些特定的连接。比如，大部分的用户使用IE浏览非标准web服务器时需要运行一些应用程序，ATGuard打开80端口向外（outbound）的连接，而且ATGuard也没有保存文件路径，没有使用checksums去检测运行的程序是否是恶意的。这将导致攻击者可以利用此漏洞开放防火墙由内向外（outbound）连接的80端口。

IMPACT
ATGuard能被攻击者欺骗允许禁止运行的程序连接网络。特洛伊木马就可利用向外的连接或使用HTTP-Tunneling-Software打通已经被阻塞的连接（比如ICQ）。
.
EXPLOIT
利用这个漏洞有许多不同的方法，这儿有一个让被禁止的ICQ启动的简单例子：
在这台机器上仅仅IE被允许连接80端口，所有其它由里向外（outbound）的连接都被ATGuard阻塞了。如果从www.HTTP-Tunnel.com下载HTTP-Tunnel-Client，并且安装它到你的机器上，当你尝试着去配置它时，将会出现对话框，告诉你无法发现HTTP-Tunnel-Server.。但是如果重命名/拷贝文件"HTTP-Tunnel Client.exe" 为 "IEXPLORE.EXE"。过一会再使用"IEXPLORE.EXE"时，就会告诉你使用正常了。


解决方案：
因为这是AtGuard最后一版，并且该产品已被Norton收购，所以目前还没有很好的解决方案