Re: windows e porte privilegiate

At 20.26 16/05/2003, you wrote:
>Windows* non ha nessun controllo sull'apertura di porte TCP/UDP 
>privilegiate (<1024)?
>Ho visto che anche un utente comune può lanciare una applicazione che 
>faccia uso di queste porte.

AFD (il driver che espone le socket all'user mode) è stato scritto con una 
parte del corpo che, per decenza, eviterò di nominare. Come già fu per la 
correlazione tra porte TCP e UDP e processi che le tengono aperte, la 
limitazione dell'uso delle porte well-known sarà una cosa che verrà risolta 
solo dopo abbastanza proteste, e anche allora in terribile ritardo, solo 
per la versione attuale di Windows e, come possibile bonus extra, da un 
team con una comprensione completamente inadeguata dell'architettura Windows

Comunque, parlando di toppe, con un po' di tempo, voglia e perseveranza si 
potrebbe riuscire ad incastrare tra AFD e l'user mode un driver-filtro che 
intercetti l'IOCTL per bind() e faccia i controlli necessari (che 
controlli, esattamente? personalmente, preferirei qualcosa in stile 
capability, se non altro perchè il resto del mondo fa così, ma diventerebbe 
impossibile da gestire a causa di inadeguatezze e incongruenze varie di 
LSASS - in breve, impossibilità di definire privilegi oltre a quelli 
hard-coded, unita ad un'insufficiente granularità di detti privilegi 
hard-coded, e senza considerare la necessità del chiamante di attivare il 
privilegio, oltre a possederlo). Il problema è il solito: siamo tenuti a 
considerare AFD, il suo provider Winsock, Winsock stesso e Windows intero 
come un monolite, quindi gli IOCTL in questione non sono documentati

>C'è forse qualche voce imboscata nel registro per evitare che ciò avvenga?

spero di sì. Altrimenti, se a qualcuno interessa abbastanza, ci si sposta 
su devel@ e ci si inventa qualcosa


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List