Debasis Mohanty reporta que un problema conocido desde el año 2003 aún existe en muchas versiones recientes de cortafuegos de escritorio.
Debido a este problema, es posible que un programa malicioso pueda traspasar la protección del cortafuegos mediante el uso de DDE-IPC (Direct Data Exchange - Interprocess Communications) que permite a un programa no confiable su comunicación con el atacante o acceder a Internet mediante otro programa confiable, como por ejemplo, el Internet Explorer, que normalmente tiene permiso de conexión.
Debasis Mohanty realizó una Prueba de Concepto que demuestra esta técnica de traspaso del cortafuegos.
En el foro de ZoneAlarm en CastleCops verificaron el exploit Prueba de Concepto en ZoneAlarm Pro, no encontrándolo vulnerable, como se ve en esta captura de la ventana de advertencia del ZoneAlarm.
Según el reporte de ZoneLabs, la Prueba de Concepto publicada utiliza la función de Windows API ShellExecute() para lanzar un programa confiable en provecho del programa no confiable y por ende, acceder a Internet sin alerta alguna del cortafuegos.
De ser explotada en forma exitosa esta técnica de traspaso del ZoneAlarm, un programa malicioso podría acceder a Internet a expensas de un programa confiable. La habilidad para acceder a la red, estará limitada por la funcionalidad del programa confiable.
Productos no afectados:
ZoneAlarm Pro, ZoneAlarm AntiVirus, ZoneAlarm Wireless Security, y ZoneAlarm Security Suite version 6.0 o posterior protegen en forma automática de este tipo de ataques en su configuración por defecto.
ZoneAlarm Pro, ZoneAlarm AntiVirus, ZoneAlarm Wireless Security, y ZoneAlarm Security Suite version 5.5 están protegidos de este tipo de ataques mediante la habilitación de la prestación "Advanced Program Control".
Productos afectados:
La versión gratuita del ZoneAlarm carece de la prestación "Advanced Program Control" y por lo tanto, es incapaz de prevenir este tipo de técnica de traspaso, siendo por lo tanto vulnerable.
Créditos:
Tr0y (tambien conocido como Debasis Mohanty)
http://www.hackingspirits.com
Referencias:
[Full-disclosure] Bypassing Personal Firewall (Zone Alarm Pro) Using DDE-IPC
http://seclists.org/lists/fulldisclosure/2005/Sep/0822.html
CastleCops: Bypassing Personal Firewall (Zone Alarm Pro) Using DDE-IPC
http://castlecops.com/postlite134369-.html
[Full-disclosure] Zone Labs response to "Bypassing Personal Firewall (Zone Alarm Pro) Using DDE-IPC"
http://seclists.org/lists/fulldisclosure/2005/Sep/0867.html
Otras referencias (archivo Bugtraq año 2003):
Bypassing ZoneAlarm (limited)
From: <aceh_at_gyuvetch.bg>
Date: 23 Jun 2003 06:12:46 -0000
http://seclists.org/lists/bugtraq/2003/Jun/0183.html
Re: Bypassing ZoneAlarm (limited)
From: Dan Harkless <bugtraq_at_harkless.org>
Date: Tue, 24 Jun 2003 12:31:47 -0700
http://seclists.org/lists/bugtraq/2003/Jun/0215.html
Re: Bypassing ZoneAlarm (limited)
From: Te Smith <tsmith_at_zonelabs.com>
Date: 1 Jul 2003 01:39:32 -0000
http://seclists.org/lists/bugtraq/2003/Jul/0000.html
