Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 1 subscriber
  • Views 3544 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

insecure default exception

Paketschubser
Hello,

maybe I misunderstand the predefined regular expressions which exclude Microsoft URLs from the antivirus filter, but it seems to me as if the could be compromised by using the right domain name. The ASG has a predefined exception "Microsoft Windows Update [Allows Windows Update without content scanning side effects.]" which skips "Authentication / Antivirus / Extension blocking / URL Filter / Content Removal" from URLs matching this regular expressions:

^https?://[A-Za-z0-9.-]*windowsupdate.com/
^https?://[A-Za-z0-9.-]*microsoft.com/

According to this expression I can simply create a website e.g. http://www.a-virus-from-microsoft.com and upload any malware on this site. The ASG will never scan the content because the domain ends with microsoft.com.
The problem could be solved by changing these URLs to: 

^https?://windowsupdate.com/
^https?://microsoft.com/
^https?://[A-Za-z0-9.-]*\.windowsupdate.com/
^https?://[A-Za-z0-9.-]*\.microsoft.com/

The same problem exists with the adobe.com and apple.com exception.

It would be great if Astaro would change this with the next version.


This thread was automatically locked due to age.
Parents
  • 0
    I looked on mine and I don't have any regular expressions in the exception list.  For the Windows Update exception it requires that the domain be either windowsupdate.com or microsoft.com.  What version of ASG are you using?
  • 0 in reply to Redactor007
    I looked on mine and I don't have any regular expressions in the exception list.  For the Windows Update exception it requires that the domain be either windowsupdate.com or microsoft.com.  What version of ASG are you using?


    I've check the problem on an ASG 7.5.x and it looks as if it's even more worth. The ASG 7.5.x also uses regular expressions for URL matching but only has a bare keyword (the domain name) in the default configuration. As a result of this it's very simple to transfer a virus without being scanned. For example simply try this:

    Place the Eicar virus testfile http://www.eicar.org/download/eicar.com on any website you like, if you try to download this file through the ASG it will complain about the virus. After that simply rename the file to microsoft.com and try downloading it again - you will see it will go through.
Reply
  • 0 in reply to Redactor007
    I looked on mine and I don't have any regular expressions in the exception list.  For the Windows Update exception it requires that the domain be either windowsupdate.com or microsoft.com.  What version of ASG are you using?


    I've check the problem on an ASG 7.5.x and it looks as if it's even more worth. The ASG 7.5.x also uses regular expressions for URL matching but only has a bare keyword (the domain name) in the default configuration. As a result of this it's very simple to transfer a virus without being scanned. For example simply try this:

    Place the Eicar virus testfile http://www.eicar.org/download/eicar.com on any website you like, if you try to download this file through the ASG it will complain about the virus. After that simply rename the file to microsoft.com and try downloading it again - you will see it will go through.
Children
No Data