Version gratuita de ZoneAlarm vulnerable a tecnica de traspaso mediante DDE-IPC

Por marcelo-ar - 2 de Octubre, 2005, 2:19, Categoría: General

Debasis Mohanty reporta que un problema conocido desde el año 2003 aún existe en muchas versiones recientes de cortafuegos de escritorio.
Debido a este problema, es posible que un programa malicioso pueda traspasar la protección del cortafuegos mediante el uso de DDE-IPC (Direct Data Exchange - Interprocess Communications) que permite a un programa no confiable su comunicación con el atacante o acceder a Internet mediante otro programa confiable, como por ejemplo, el Internet Explorer, que normalmente tiene permiso de conexión.

Debasis Mohanty realizó una Prueba de Concepto que demuestra esta técnica de traspaso del cortafuegos.

En el foro de ZoneAlarm en CastleCops verificaron el exploit Prueba de Concepto en ZoneAlarm Pro, no encontrándolo vulnerable, como se ve en esta captura de la ventana de advertencia del ZoneAlarm.

Según el reporte de ZoneLabs, la Prueba de Concepto publicada utiliza la función de Windows API ShellExecute() para lanzar un programa confiable en provecho del programa no confiable y por ende, acceder a Internet sin alerta alguna del cortafuegos.
De ser explotada en forma exitosa esta técnica de traspaso del ZoneAlarm, un programa malicioso podría acceder a Internet a expensas de un programa confiable. La habilidad para acceder a la red, estará limitada por la funcionalidad del programa confiable.

Productos no afectados:
ZoneAlarm Pro, ZoneAlarm AntiVirus, ZoneAlarm Wireless Security, y ZoneAlarm Security Suite version 6.0 o posterior protegen en forma automática de este tipo de ataques en su configuración por defecto.

ZoneAlarm Pro, ZoneAlarm AntiVirus, ZoneAlarm Wireless Security, y ZoneAlarm Security Suite version 5.5 están protegidos de este tipo de ataques mediante la habilitación de la prestación "Advanced Program Control".

Productos afectados:
La versión gratuita del ZoneAlarm carece de la prestación "Advanced Program Control" y por lo tanto, es incapaz de prevenir este tipo de técnica de traspaso, siendo por lo tanto vulnerable.

Créditos:
Tr0y (tambien conocido como Debasis Mohanty)
http://www.hackingspirits.com

Referencias:
[Full-disclosure] Bypassing Personal Firewall (Zone Alarm Pro) Using DDE-IPC
http://seclists.org/lists/fulldisclosure/2005/Sep/0822.html

CastleCops: Bypassing Personal Firewall (Zone Alarm Pro) Using DDE-IPC
http://castlecops.com/postlite134369-.html

[Full-disclosure] Zone Labs response to "Bypassing Personal Firewall (Zone Alarm Pro) Using DDE-IPC"
http://seclists.org/lists/fulldisclosure/2005/Sep/0867.html

Otras referencias (archivo Bugtraq año 2003):
Bypassing ZoneAlarm (limited)
From: <aceh_at_gyuvetch.bg>
Date: 23 Jun 2003 06:12:46 -0000
http://seclists.org/lists/bugtraq/2003/Jun/0183.html

Re: Bypassing ZoneAlarm (limited)
From: Dan Harkless <bugtraq_at_harkless.org>
Date: Tue, 24 Jun 2003 12:31:47 -0700
http://seclists.org/lists/bugtraq/2003/Jun/0215.html

Re: Bypassing ZoneAlarm (limited)
From: Te Smith <tsmith_at_zonelabs.com>
Date: 1 Jul 2003 01:39:32 -0000
http://seclists.org/lists/bugtraq/2003/Jul/0000.html

El Blog

Calendario

<<   Octubre 2005  >>
LMMiJVSD
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31       

Categorías

Alojado en
ZoomBlog

Get Firefox!

Check Page Rank

directorio blogs
eXTReMe Tracker