Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 1 subscriber
  • Views 3544 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

insecure default exception

Paketschubser
Hello,

maybe I misunderstand the predefined regular expressions which exclude Microsoft URLs from the antivirus filter, but it seems to me as if the could be compromised by using the right domain name. The ASG has a predefined exception "Microsoft Windows Update [Allows Windows Update without content scanning side effects.]" which skips "Authentication / Antivirus / Extension blocking / URL Filter / Content Removal" from URLs matching this regular expressions:

^https?://[A-Za-z0-9.-]*windowsupdate.com/
^https?://[A-Za-z0-9.-]*microsoft.com/

According to this expression I can simply create a website e.g. http://www.a-virus-from-microsoft.com and upload any malware on this site. The ASG will never scan the content because the domain ends with microsoft.com.
The problem could be solved by changing these URLs to: 

^https?://windowsupdate.com/
^https?://microsoft.com/
^https?://[A-Za-z0-9.-]*\.windowsupdate.com/
^https?://[A-Za-z0-9.-]*\.microsoft.com/

The same problem exists with the adobe.com and apple.com exception.

It would be great if Astaro would change this with the next version.


This thread was automatically locked due to age.
Parents
  • 0
    Great work, Paketschubser!  Thanks for your contribution - This should be changed immediately!

    Cheers - Bob
    PS Some others for those who would like to copy-n-paste into your Exceptions.
    ^https?://adobe.com/
    ^https?://[A-Za-z0-9.-]*\.adobe.com/
    ^https?://apple.com/
    ^https?://[A-Za-z0-9.-]*\.apple.com/
    ^https?://macromedia.com/
    ^https?://[A-Za-z0-9.-]*\.macromedia.com/
    ^https?://ontrack.com/
    ^https?://[A-Za-z0-9.-]*\.ontrack.com/
    ^https?://avery.com/
    ^https?://[A-Za-z0-9.-]*\.avery.com/
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Good catch Paketschubser-

    I'll nudge folks and see what I can do about changing the defaults.

    BUT, it looks like the suggested regex will block sites like https://microsoft.com.  Someone much better at Regex than I am suggested:

    https?://([A-Za-z0-9.-]*\.)?microsoft.com/

    I suggest users review all of the exceptions (and the transparent mode skiplist, and other proxy exclusions in the browsers, etc). and remove any not needed in your environment.  You may want to block any of those you take out of the exceptions to prevent putting a high load on the proxy when evil things like the Adobe download manager try to run.


    Now, stepping out of my Astaro role and onto my soapbox (in my purely personal, professional security paranoid role):
    In a perfect world... I don't think these exceptions should be active in a business environment, and I think all of these sites should be expressly blocked (and Mozilla, OpenOffice, etc. too).  Only your hardened patch management and central security systems (AV controllers and such) should be allowed access to the required download sites.  The clients shouldn't be trusted to download their own updates, nor should the bandwidth (no matter how much you have) be squandered on downloading the same packages dozens (hundreds, thousands) of times.


    Jack
Reply
  • 0 in reply to BAlfson
    Good catch Paketschubser-

    I'll nudge folks and see what I can do about changing the defaults.

    BUT, it looks like the suggested regex will block sites like https://microsoft.com.  Someone much better at Regex than I am suggested:

    https?://([A-Za-z0-9.-]*\.)?microsoft.com/

    I suggest users review all of the exceptions (and the transparent mode skiplist, and other proxy exclusions in the browsers, etc). and remove any not needed in your environment.  You may want to block any of those you take out of the exceptions to prevent putting a high load on the proxy when evil things like the Adobe download manager try to run.


    Now, stepping out of my Astaro role and onto my soapbox (in my purely personal, professional security paranoid role):
    In a perfect world... I don't think these exceptions should be active in a business environment, and I think all of these sites should be expressly blocked (and Mozilla, OpenOffice, etc. too).  Only your hardened patch management and central security systems (AV controllers and such) should be allowed access to the required download sites.  The clients shouldn't be trusted to download their own updates, nor should the bandwidth (no matter how much you have) be squandered on downloading the same packages dozens (hundreds, thousands) of times.


    Jack
Children
No Data