Клиент ISA Server 2006 очевидный Security Feature Bypass

ISA Server 2006 до сих пор является популярным в использовании в сети. Последний клиент для десктоп может быть установлен отсюда x32/x64 http://www.microsoft.com/ru-ru/download/details.aspx?id=10193 или скачивается клиентами с сервера. В клиенте заявлена поддержка Windows Vista [с которой MS начали использовать ASLR + DEP как основные exploit mitigation]. В отличие от DEP, который принудительно можно включить системными настройкам как Always ON или OptOut, ASLR (даже на Windows 8.1 из-за возможных проблем с совместимостью) работает как OptIn и включается только если приложение скомпилировано с /DYNAMICBASE.

Ввиду заявленной поддержки Vista MS могли бы отнестись к клиенту и посерьезнее, скомпилировав файлы с DEP и ASLR. Между тем имеем (%ProgramFiles%\Microsoft Firewall Client 2004\ - стандартный путь установки) полный провал на компиляцию с ASLR + даже DEP.


Какое-то барахло в папке "2004-го года" с таймстамами дек. 2006. На самом деле нас больше всего интересуют две библиотеки FwcWsp.dll и FwcWsp64.dll, которые загружаются в контексты таких критичных для RCE эксплойтов процессы как браузеры + почтовые клиенты + Skype и т. д.

Получаем очевидный Security Feature Bypass на up-to-date Windows 7.



....

При использовании с MS Office 2013 & IE 10/11 на up-to-date Windows 7+ спасает включенный по дефолту ASLR (enforce ASLR randomization natively without any additional setting on Win7 and above).