◽️ با توجه به مطلب منتشر شده توسط محقق امنیتی zc00l، مهاجم میتواند بدون ایجاد ترافیک مشکوک و با دور زدن دیواره آتش، دسترسی از راه دور خود را ایجاد کند.
در حالت عادی، اگر دیواره آتش فعال باشد، هنگامی که کاربر اقدام به ایجاد یک خط ارتباطی نماید، دیواره آتش یک Alert ایجاد میکند. همچنین این Alert تا زمان باز بودن Socket باقی میماند. همچنین اجازه ایجاد Rule در دیواره آتش برای کاربر عادی ممکن نیست.
برای دور زدن دیواره آتش از ویژگی Named Pipe در ویندوز استفاده میشود. این ویژگی به منظور دریافت یک یا دو ورودی متفاوت از یک ارتباط بین سرور و کلاینت مورد استفاده قرار میگیرد. از آنجایی که پورت SMB به صورت پیشفرض باز و Ruleهای آن در دیواره آتش وجود دارد کافیست ترافیک از طریق آن منتقل شود.
شبکه اجتماعی آزمایشگاه امنیت وایت لب
