Vulnerabilidad en comunicaciones DDE-IPC de ZoneAlarm

02/10/2005 - 14:26 por Verónica B. | Informe spam
Una debilidad ha sido identificada en ZoneAlarm, el
cortafuegos de Zone Labs, que podría ser explotada para
eludir ciertas políticas de seguridad.

Este problema se debe a un error de diseño cuando el ZA
maneja las comunicaciones DDE-IPC (Direct Data Exchange –
Interprocess Communications), que podría ser utilizado por un
programa malicioso para acceder a la red, a través de
programas confiables (marcados como "Trusted"), sin ninguna
advertencia del cortafuegos.


* Productos afectados

- Zone Labs ZoneAlarm versiones gratuitas
- Zone Labs ZoneAlarm Pro 5.1 y anteriores


* Solución

* Usuarios de la versión gratuita

La versión gratuita carece de la característica "Advanced
Program Control", y por lo tanto no puede impedir esta
técnica para eludir la protección del cortafuegos.

Se recomienda el uso de un antivirus actualizado para impedir
la ejecución de archivos potencialmente peligrosos, y las
prácticas normales de prevención, como las de no aceptar ni
ejecutar ninguna clase de archivo no solicitado, etc.


* Usuarios de la versión de pago

Utilizar las versiones no afectadas por este fallo, en su
configuración por defecto:

- ZoneAlarm Pro 6.0 y superior
- ZoneAlarm AntiVirus 6.0 y superior
- ZoneAlarm Wireless Security 6.0 y superior
- ZoneAlarm Security Suite 6.0 y superior

Las siguientes versiones pueden proteger al usuario si se
habilita la característica "Advanced Program Control":

- Check Point Integrity 6.0
- Check Point Integrity 5.1

NOTA: No solo ZoneAlarm es afectado. Otros cortafuegos "de
escritorio", también pueden ser vulnerables a esta técnica.


* Prueba de concepto

Una prueba de concepto está disponible en el siguiente enlace
(los documentos incluidos en el archivo -en inglés- explican
su funcionamiento):

http://hackingspirits.com/vuln-rnd/zabypass.zip

NOTA: El archivo es proporcionado por el descubridor de la
vulnerabilidad. Su acción permite que un programa no
autorizado, envíe información a un servidor remoto utilizando
el Internet Explorer, sin ser detectado por el firewall.


* Referencias:

Zone Labs ZoneAlarm Pro
DDE-IPC Advanced Program Control Bypass Weakness
http://www.securityfocus.com/bid/14966/info

Zone Labs ZoneAlarm Personal Firewalls Security Bypass
Weakness
http://www.frsirt.com/english/advisories/2005/1919

Bypassing Personal Firewall Using "DDE-IPC"
http://download.zonelabs.com/bin/fr...rt/35.html

Bypassing Personal Firewall (ZoneAlarm Pro) Protection
http://hackingspirits.com/vuln-rnd/vuln-rnd.html


Fuente: www.vsantivirus.com

saludos
Verónica B.(ez az én aláírásom)
 

Leer las respuestas

#1 Munguia Producciones
21/11/2005 - 17:54 | Informe spam
nada de esto sucede en Firewall WINXP, por qué se complican la vida?
G.

"Verónica B." escribió en el mensaje
news:
Una debilidad ha sido identificada en ZoneAlarm, el
cortafuegos de Zone Labs, que podría ser explotada para
eludir ciertas políticas de seguridad.

Este problema se debe a un error de diseño cuando el ZA
maneja las comunicaciones DDE-IPC (Direct Data Exchange -
Interprocess Communications), que podría ser utilizado por un
programa malicioso para acceder a la red, a través de
programas confiables (marcados como "Trusted"), sin ninguna
advertencia del cortafuegos.


* Productos afectados

- Zone Labs ZoneAlarm versiones gratuitas
- Zone Labs ZoneAlarm Pro 5.1 y anteriores


* Solución

* Usuarios de la versión gratuita

La versión gratuita carece de la característica "Advanced
Program Control", y por lo tanto no puede impedir esta
técnica para eludir la protección del cortafuegos.

Se recomienda el uso de un antivirus actualizado para impedir
la ejecución de archivos potencialmente peligrosos, y las
prácticas normales de prevención, como las de no aceptar ni
ejecutar ninguna clase de archivo no solicitado, etc.


* Usuarios de la versión de pago

Utilizar las versiones no afectadas por este fallo, en su
configuración por defecto:

- ZoneAlarm Pro 6.0 y superior
- ZoneAlarm AntiVirus 6.0 y superior
- ZoneAlarm Wireless Security 6.0 y superior
- ZoneAlarm Security Suite 6.0 y superior

Las siguientes versiones pueden proteger al usuario si se
habilita la característica "Advanced Program Control":

- Check Point Integrity 6.0
- Check Point Integrity 5.1

NOTA: No solo ZoneAlarm es afectado. Otros cortafuegos "de
escritorio", también pueden ser vulnerables a esta técnica.


* Prueba de concepto

Una prueba de concepto está disponible en el siguiente enlace
(los documentos incluidos en el archivo -en inglés- explican
su funcionamiento):

http://hackingspirits.com/vuln-rnd/zabypass.zip

NOTA: El archivo es proporcionado por el descubridor de la
vulnerabilidad. Su acción permite que un programa no
autorizado, envíe información a un servidor remoto utilizando
el Internet Explorer, sin ser detectado por el firewall.


* Referencias:

Zone Labs ZoneAlarm Pro
DDE-IPC Advanced Program Control Bypass Weakness
http://www.securityfocus.com/bid/14966/info

Zone Labs ZoneAlarm Personal Firewalls Security Bypass
Weakness
http://www.frsirt.com/english/advisories/2005/1919

Bypassing Personal Firewall Using "DDE-IPC"
http://download.zonelabs.com/bin/fr...rt/35.html

Bypassing Personal Firewall (ZoneAlarm Pro) Protection
http://hackingspirits.com/vuln-rnd/vuln-rnd.html


Fuente: www.vsantivirus.com

saludos
Verónica B.(ez az én aláírásom)


Preguntas similares