Vulnerabilidad en comunicaciones DDE-IPC de ZoneAlarm

02/10/2005 - 14:26 por Verónica B. | Informe spam

Una debilidad ha sido identificada en ZoneAlarm, el
cortafuegos de Zone Labs, que podría ser explotada para
eludir ciertas políticas de seguridad.

Este problema se debe a un error de diseño cuando el ZA
maneja las comunicaciones DDE-IPC (Direct Data Exchange –
Interprocess Communications), que podría ser utilizado por un
programa malicioso para acceder a la red, a través de
programas confiables (marcados como "Trusted"), sin ninguna
advertencia del cortafuegos.

* Productos afectados

- Zone Labs ZoneAlarm versiones gratuitas
- Zone Labs ZoneAlarm Pro 5.1 y anteriores

* Solución

* Usuarios de la versión gratuita

La versión gratuita carece de la característica "Advanced
Program Control", y por lo tanto no puede impedir esta
técnica para eludir la protección del cortafuegos.

Se recomienda el uso de un antivirus actualizado para impedir
la ejecución de archivos potencialmente peligrosos, y las
prácticas normales de prevención, como las de no aceptar ni
ejecutar ninguna clase de archivo no solicitado, etc.

* Usuarios de la versión de pago

Utilizar las versiones no afectadas por este fallo, en su
configuración por defecto:

- ZoneAlarm Pro 6.0 y superior
- ZoneAlarm AntiVirus 6.0 y superior
- ZoneAlarm Wireless Security 6.0 y superior
- ZoneAlarm Security Suite 6.0 y superior

Las siguientes versiones pueden proteger al usuario si se
habilita la característica "Advanced Program Control":

- Check Point Integrity 6.0
- Check Point Integrity 5.1

NOTA: No solo ZoneAlarm es afectado. Otros cortafuegos "de
escritorio", también pueden ser vulnerables a esta técnica.

* Prueba de concepto

Una prueba de concepto está disponible en el siguiente enlace
(los documentos incluidos en el archivo -en inglés- explican
su funcionamiento):

http://hackingspirits.com/vuln-rnd/zabypass.zip

NOTA: El archivo es proporcionado por el descubridor de la
vulnerabilidad. Su acción permite que un programa no
autorizado, envíe información a un servidor remoto utilizando
el Internet Explorer, sin ser detectado por el firewall.

* Referencias:

Zone Labs ZoneAlarm Pro
DDE-IPC Advanced Program Control Bypass Weakness
http://www.securityfocus.com/bid/14966/info

Zone Labs ZoneAlarm Personal Firewalls Security Bypass
Weakness
http://www.frsirt.com/english/advisories/2005/1919

Bypassing Personal Firewall Using "DDE-IPC"
http://download.zonelabs.com/bin/fr...rt/35.html

Bypassing Personal Firewall (ZoneAlarm Pro) Protection
http://hackingspirits.com/vuln-rnd/vuln-rnd.html

Fuente: www.vsantivirus.com

saludos
Verónica B.(ez az én aláírásom)

Siga el debate

26 respuestas

Tengo una respuesta

Preguntas similare

[Vulnerabilidad] ZoneAlarm 4.x (buffer overflow)

Leer las respuestas

#26 Aldo Comparini $gt$

30/12/2005 - 08:36 | Informe spam

Para quien interese, aca un excelente articulo sobre el Firewall de Windows
XP en español, de un MVP llamado Luciano de Lima
Dejo aca la introduccion:
Microsoft Windows XP Service Pack 2 (SP2) incluye entre sus novedades el
Windows Firewall, que substituye el ICF (Internet Connections Firewall -
Firewall de Conexión Con Internet) del Windows XP y Windows XP con Service
Pack 1.

El Windows Firewall permite monitorear aplicaciones y puertos TCP/IP,
descartando el tráfico de entrada no solicitado, ofreciendo un nivel de
protección para computadoras conectadas a cualquier tipo de red, como por
ejemplo, Internet, red de casa, o una rede corporativa. El Windows XP SP2
activa el Windows Firewall sobre todas las conexiones de red como padrón.
Los administradores de red pueden usar el fichero Netfw.inf para
personalizar las configuraciones del Windows Firewall antes o después de la
instalación del Windows XP SP2..

http://www.microsoft.com/latam/tech...-pag10.asp

* * * * * * * * * * * * * * * * * * * * * * * * * *
Saludos =)
Aldo Comparini G.
(escribe SIN MIEDO antes de enviar correo)
www.ecoarqtec.elgratissitio.com
"Haz o mejor que puedas con los recursos que tengas"
Guatemala C.A
* * * * * * * * * * * * * * * * * * * * * * * * * * *

"Aldo Comparini (gt)" escribió en el mensaje
news:

Thanks Ivan, entoces estoy en lo correcto..
de todos modos seguire buscando informacion me interesa mucho el tema...
****************************
Aldo Comparini G.
(Escribe SIN TEMOR para enviar correo)
Pagina Web: http://www.ecoarqtec.elgratissitio.com
Guatemala C.A
*****************************

"Ivan [MS MVP]" escribió en el mensaje
news:%
>
> NO, no controla en saliente. Ese aviso solo indica que un programa

intenta

> poner un socket en escucha, lo cual permitira conexiones entrantes, pero
> de controlar en saliente, nada de nada
>
> Un saludo.
> Ivan
> MS MVP ISA Server
>
> "Aldo Comparini (gt)" escribió en el mensaje
> news:
>>
>> Hola Rodolfo, siempre soy abierto a aprender cosas nuevas, y me doy
>> cuenta de que tengo la informacion incompleta del Firewall de XP por

eso

>> la pregunta acerca de algun articulo que trate este topico en
>> particular...
>> Gracias de todos modos.
>> Saludos =)
>> ****************************
>> Aldo Comparini G.
>> (Escribe SIN TEMOR para enviar correo)
>> Pagina Web: http://www.ecoarqtec.elgratissitio.com
>> Guatemala C.A
>> *****************************
>>
>> "Rodolfo Parrado Gutiérrez [MVP]"

escribió

>> en el mensaje news:
>> obviamente si usted tiene conocimientos es mejor que siga con un

firewall

>> mas profundo como sygate,,, (de los free)
>>
>>
>> "Aldo Comparini (gt)" wrote in message
>> news:eq4U$
>>>
>>> Ups !! perdon !! ando algo "liado" y no me percate !!!
>>> Sip he de investigar un poco mas acerca de esto...Gracias !! =))
>>> PD: algun enlace que hable de esto en las KB? gracias de antemano
>>> Saludos =)
>>> ****************************
>>> Aldo Comparini G.
>>> (Escribe SIN TEMOR para enviar correo)
>>> Pagina Web: http://www.ecoarqtec.elgratissitio.com
>>> Guatemala C.A
>>> *****************************
>>> "Rodolfo Parrado Gutiérrez [MVP]"

escribió

>>> en
>>> el mensaje news:
>>> vio el grafico que envie?
>>>
>>> :-)
>>>
>>> "Aldo Comparini (gt)" wrote in message
>>> news:%
>>>>
>>>> Hola Rodolfoaclarando mi punto de vista digo que es para usuarios
>>>> novatos, que no saben nada de puertos y de conexiones..
>>>> Peeero corrigeme si estoy mal, el Firewall de XP no avisa de

conexiones

>>>> salientes solo de entrantes no??
>>>> Saludos =)
>>>> ****************************
>>>> Aldo Comparini G.
>>>> (Escribe SIN TEMOR para enviar correo)
>>>> Pagina Web: http://www.ecoarqtec.elgratissitio.com
>>>> Guatemala C.A
>>>> *****************************
>>>>
>>>> "Rodolfo Parrado Gutiérrez [MVP]"
>>>> escribió
>>>> en
>>>> el mensaje news:%
>>>> no es para usuarios novatos, es para usuarios. A veces olvidamos que
>>>> los
>>>> programas y sistemas operativos son hechos para las personas del

comun

>>>> y
>>>> no
>>>> para usuarios expertos ni ingenieros de sistemas...
>>>>
>>>> XP con SP2, muestra el bloqueo los programas que trantan de salir y

>>>> informan si los deja o no, para un usuario normal.
>>>>
>>>> "Aldo Comparini (gt)" wrote in message
>>>> news:uEy%
>>>>>
>>>>> Nop. ese es su lado flaco, para mi el firewall de XP, es para

usuarios

>>>>> novatos, pero no me gusta nada nada que no sepa si algun programa
>>>>> intenta
>>>>> conectarse desde mi pc, sin advertirme...
>>>>>
>>>>> ______________________________
>>>>> Saludos =)
>>>>> Aldo Comparini G.
>>>>> Ecologista,Arquitecto,
>>>>> (Escribe SIN MIEDO antes de enviar correo)
>>>>> (escribe SIN MIEDO antes de enviar

correo)

>>>>> www.ecoarqtec.elgratissitio.com
>>>>> "Vive Plenamente o Muere Intentandolo"
>>>>> Guatemala C.A
>>>>> ______________________
>>>>> "noSign" escribió en el mensaje
>>>>> news:
>>>>>>
>>>>>> Porque el Fire de Xp controla las entradas
>>>>>> ¿las salidas también?
>>>>>>
>>>>>> "Munguia Producciones" escribió en
>>>>>> el
>>>>> mensaje
>>>>>> news:%
>>>>>> > nada de esto sucede en Firewall WINXP, por qué se complican la
>>>>>> > vida?
>>>>>> > G.
>>>>>>
>>>>>>
>>>>>>
>>>>>
>>>>>
>>>>>
>>>>
>>>>
>>>>
>>>
>>>
>>>
>>
>>
>>
>
>
>

Siga el debate Respuesta

Responder a este mensaje

Ads by Google

Hacer una pregunta

Tengo una respuesta

1 2 3 4 5 6

Busqueda sugerida