Win7 - Sicherheitslücke in Windows Firewall

[resas0]

Hallo,

ich benutze die Windows 7 Firewall auf der Einstellung, dass alle aus- und eingehenden Verbindungen geblockt werden. Also nicht die Standardeinstellung, dass alle ausgehenden Verbindungen erlaubt sind.

Ich benutze eine Desktopfirewall zusätzlich zu meiner Routerfirewall, damich ich genau festlegen kann, welches Programm ins Internet darf und welches nicht.

Ich habe zudem alle Standard-Regeln deaktiviert und muss also jede Anwendung explizit in das Regelwerk aufnehmen, um ihr einen Zugriff auf das Internet zu gewähren. Neben Firefox, Thunderbird und Avira Antivir Updater habe ich noch die svchost.exe von Windows erlaubt, damit die windwos updatefunktion reibungslos funktioniert. Sonst nichts!

Heute habe ich aber mit Entsetzen festgestellt, dass ich im Adobe Acrobat Reader unter "Hilfe" auf die Funktion "Nach Updates suchen" klicken kann und dort auch tatsächlich eines gefunden werden konnte, obwohl ich definitiv nur die oben genannten 4 Programme explizit erlaubt habe.

Wenn ich das Netzwerkkabel aus meinem Rechner ziehe und beim Adobe Acrobat Reader auf die Funktion "Nach Updates suchen" klicke, dann meldet er auch, dass er keine Internetverbingung hat.

Sobald das Kabel allerdings wieder drin ist, meldet er dies nicht mehr, nur, dass auf dem Server keine neuen Updates zur Verfügung stehen. Der Updater konnte also ins Internet verbinden, obwohl ich - wie bereits erwähnt nur Firefox, Thunderbird, Avira Antivir Updater und die svchost.exe von Windows erlaubt habe.

Dann habe ich getestet, was passiert, wenn ich die Erlaubnis für die svchost.exe von Windows (aus dem system32-Verzeichnis) deaktiviere - und siehe da!!! plötzlich findet der Adobe Acrobat Reader Updater keinen Server mehr.

Dh. der Adobe Acrobat Reader Updater schleicht sich irgendwie über die svchost.exe von Windows (aus dem system32-Verzeichnis) ins Internet.

Ich dachte bisher immer ich hätte die Kontrolle über meine Firewall bzw. welches Programm ins Internet darf und welches nicht - aber nun weiß ich, dass sich wohl jedes beliebige Programm einfach über die svchost.exe einen Internetzugriff erschleichen kann. Also auch ein trojaner oder spyware... das ist ja eine EXTREME Sicherheitslücke. Dann kann ich die Firewall ja gleich ganz aus lassen, wenn sie so einfach austricksbar ist. Das möchte ich aber nicht!

Das finde ich katastrophal und würde gerne wissen, wie das überhaupt möglich ist.

Hat jemand eine Erklärung und noch besser auch noch einen Tipp, wie man dagegen vorgehen kann?


Vielen dank und geschockte Grüße

resas0

[GuentherH]

Hallo.

Lies dir das einfach einmal durch - What is svchost.exe And Why Is It Running? - How-To Geek

LG Günther

[NilsK]

Moin,

du hast hier einfach den Umstand kennengelernt, dass eine Firewall nie absolute Sicherheit erzeugt. Prinzipbedingt gibt es immer Möglichkeiten, das Regelwerk auszunutzen.

Der vorliegende Fall ist eigentlich simpel, weil er grundsätzlich eine http-Verbindung aufbaut. Daran kann eine Firewall kaum etwas Verwerfliches finden. Nicht umsonst nennt man http auch scherzhaft "Firewall Bypass Protocol" - und https "Universal Firewall Bypass Protocol", weil verschlüsselte http-Verbindungen nicht einmal von zusätzlichen Sicherheitskomponenten untersucht werden können.

Gruß, Nils

[LukasB]

Nicht zu vergessen sind DNS-Tunnel, die von keiner Softwarefirewall gesperrt werden.

DNStunnel.de - free DNS tunneling service