Vulnerabilidad en comunicaciones DDE-IPC de ZoneAlarm

Una debilidad ha sido identificada en ZoneAlarm, el
cortafuegos de Zone Labs, que podría ser explotada para
eludir ciertas políticas de seguridad.

Este problema se debe a un error de diseño cuando el ZA
maneja las comunicaciones DDE-IPC (Direct Data Exchange -
Interprocess Communications), que podría ser utilizado por un
programa malicioso para acceder a la red, a través de
programas confiables (marcados como "Trusted"), sin ninguna
advertencia del cortafuegos.


* Productos afectados

- Zone Labs ZoneAlarm versiones gratuitas
- Zone Labs ZoneAlarm Pro 5.1 y anteriores


* Solución

* Usuarios de la versión gratuita

La versión gratuita carece de la característica "Advanced
Program Control", y por lo tanto no puede impedir esta
técnica para eludir la protección del cortafuegos.

Se recomienda el uso de un antivirus actualizado para impedir
la ejecución de archivos potencialmente peligrosos, y las
prácticas normales de prevención, como las de no aceptar ni
ejecutar ninguna clase de archivo no solicitado, etc.


* Usuarios de la versión de pago

Utilizar las versiones no afectadas por este fallo, en su
configuración por defecto:

- ZoneAlarm Pro 6.0 y superior
- ZoneAlarm AntiVirus 6.0 y superior
- ZoneAlarm Wireless Security 6.0 y superior
- ZoneAlarm Security Suite 6.0 y superior

Las siguientes versiones pueden proteger al usuario si se
habilita la característica "Advanced Program Control":

- Check Point Integrity 6.0
- Check Point Integrity 5.1

NOTA: No solo ZoneAlarm es afectado. Otros cortafuegos "de
escritorio", también pueden ser vulnerables a esta técnica.


* Prueba de concepto

Una prueba de concepto está disponible en el siguiente enlace
(los documentos incluidos en el archivo -en inglés- explican
su funcionamiento):

http://hackingspirits.com/vuln-rnd/zabypass.zip

NOTA: El archivo es proporcionado por el descubridor de la
vulnerabilidad. Su acción permite que un programa no
autorizado, envíe información a un servidor remoto utilizando
el Internet Explorer, sin ser detectado por el firewall.


* Referencias:

Zone Labs ZoneAlarm Pro
DDE-IPC Advanced Program Control Bypass Weakness
http://www.securityfocus.com/bid/14966/info

Zone Labs ZoneAlarm Personal Firewalls Security Bypass
Weakness
http://www.frsirt.com/english/advisories/2005/1919

Bypassing Personal Firewall Using "DDE-IPC"
http://download.zonelabs.com/bin/fr...rt/35.html

Bypassing Personal Firewall (ZoneAlarm Pro) Protection
http://hackingspirits.com/vuln-rnd/vuln-rnd.html


Fuente: www.vsantivirus.com

saludos
Verónica B.(ez az én aláírásom)

Una debilidad ha sido identificada en ZoneAlarm, el
cortafuegos de Zone Labs, que podría ser explotada para
eludir ciertas políticas de seguridad.

Este problema se debe a un error de diseño cuando el ZA
maneja las comunicaciones DDE-IPC (Direct Data Exchange -
Interprocess Communications), que podría ser utilizado por un
programa malicioso para acceder a la red, a través de
programas confiables (marcados como "Trusted"), sin ninguna
advertencia del cortafuegos.


* Productos afectados

- Zone Labs ZoneAlarm versiones gratuitas
- Zone Labs ZoneAlarm Pro 5.1 y anteriores


* Solución

* Usuarios de la versión gratuita

La versión gratuita carece de la característica "Advanced
Program Control", y por lo tanto no puede impedir esta
técnica para eludir la protección del cortafuegos.

Se recomienda el uso de un antivirus actualizado para impedir
la ejecución de archivos potencialmente peligrosos, y las
prácticas normales de prevención, como las de no aceptar ni
ejecutar ninguna clase de archivo no solicitado, etc.


* Usuarios de la versión de pago

Utilizar las versiones no afectadas por este fallo, en su
configuración por defecto:

- ZoneAlarm Pro 6.0 y superior
- ZoneAlarm AntiVirus 6.0 y superior
- ZoneAlarm Wireless Security 6.0 y superior
- ZoneAlarm Security Suite 6.0 y superior

Las siguientes versiones pueden proteger al usuario si se
habilita la característica "Advanced Program Control":

- Check Point Integrity 6.0
- Check Point Integrity 5.1

NOTA: No solo ZoneAlarm es afectado. Otros cortafuegos "de
escritorio", también pueden ser vulnerables a esta técnica.


* Prueba de concepto

Una prueba de concepto está disponible en el siguiente enlace
(los documentos incluidos en el archivo -en inglés- explican
su funcionamiento):

http://hackingspirits.com/vuln-rnd/zabypass.zip

NOTA: El archivo es proporcionado por el descubridor de la
vulnerabilidad. Su acción permite que un programa no
autorizado, envíe información a un servidor remoto utilizando
el Internet Explorer, sin ser detectado por el firewall.


* Referencias:

Zone Labs ZoneAlarm Pro
DDE-IPC Advanced Program Control Bypass Weakness
http://www.securityfocus.com/bid/14966/info

Zone Labs ZoneAlarm Personal Firewalls Security Bypass
Weakness
http://www.frsirt.com/english/advisories/2005/1919

Bypassing Personal Firewall Using "DDE-IPC"
http://download.zonelabs.com/bin/fr...rt/35.html

Bypassing Personal Firewall (ZoneAlarm Pro) Protection
http://hackingspirits.com/vuln-rnd/vuln-rnd.html


Fuente: www.vsantivirus.com

saludos
Verónica B.(ez az én aláírásom)

nada de esto sucede en Firewall WINXP, por qué se complican la vida?
G.

"Verónica B." escribió en el

news:
> Una debilidad ha sido identificada en ZoneAlarm, el
> cortafuegos de Zone Labs, que podría ser explotada para
> eludir ciertas políticas de seguridad.
>
> Este problema se debe a un error de diseño cuando el ZA
> maneja las comunicaciones DDE-IPC (Direct Data Exchange -
> Interprocess Communications), que podría ser utilizado por un
> programa malicioso para acceder a la red, a través de
> programas confiables (marcados como "Trusted"), sin ninguna
> advertencia del cortafuegos.
>
>
> * Productos afectados
>
> - Zone Labs ZoneAlarm versiones gratuitas
> - Zone Labs ZoneAlarm Pro 5.1 y anteriores
>
>
> * Solución
>
> * Usuarios de la versión gratuita
>
> La versión gratuita carece de la característica "Advanced
> Program Control", y por lo tanto no puede impedir esta
> técnica para eludir la protección del cortafuegos.
>
> Se recomienda el uso de un antivirus actualizado para impedir
> la ejecución de archivos potencialmente peligrosos, y las
> prácticas normales de prevención, como las de no aceptar ni
> ejecutar ninguna clase de archivo no solicitado, etc.
>
>
> * Usuarios de la versión de pago
>
> Utilizar las versiones no afectadas por este fallo, en su
> configuración por defecto:
>
> - ZoneAlarm Pro 6.0 y superior
> - ZoneAlarm AntiVirus 6.0 y superior
> - ZoneAlarm Wireless Security 6.0 y superior
> - ZoneAlarm Security Suite 6.0 y superior
>
> Las siguientes versiones pueden proteger al usuario si se
> habilita la característica "Advanced Program Control":
>
> - Check Point Integrity 6.0
> - Check Point Integrity 5.1
>
> NOTA: No solo ZoneAlarm es afectado. Otros cortafuegos "de
> escritorio", también pueden ser vulnerables a esta técnica.
>
>
> * Prueba de concepto
>
> Una prueba de concepto está disponible en el siguiente enlace
> (los documentos incluidos en el archivo -en inglés- explican
> su funcionamiento):
>
> http://hackingspirits.com/vuln-rnd/zabypass.zip
>
> NOTA: El archivo es proporcionado por el descubridor de la
> vulnerabilidad. Su acción permite que un programa no
> autorizado, envíe información a un servidor remoto utilizando
> el Internet Explorer, sin ser detectado por el firewall.
>
>
> * Referencias:
>
> Zone Labs ZoneAlarm Pro
> DDE-IPC Advanced Program Control Bypass Weakness
> http://www.securityfocus.com/bid/14966/info
>
> Zone Labs ZoneAlarm Personal Firewalls Security Bypass
> Weakness
> http://www.frsirt.com/english/advisories/2005/1919
>
> Bypassing Personal Firewall Using "DDE-IPC"
> http://download.zonelabs.com/bin/fr...rt/35.html
>
> Bypassing Personal Firewall (ZoneAlarm Pro) Protection
> http://hackingspirits.com/vuln-rnd/vuln-rnd.html
>
>
> Fuente: www.vsantivirus.com
>
> saludos
> Verónica B.(ez az én aláírásom)
>
>





avast! Antivirus: Mensaje entrante limpio.
Base de datos de Virus (VPS): 0546-4, 18/11/2005
Comprobado el: 21/11/05 02:59:56 p.m.
avast! - copyright (c) 1988-2005 ALWIL Software.
http://www.avast.com

nada de esto sucede en Firewall WINXP, por qué se complican la vida?
G.

"Verónica B." escribió en el

news:
> Una debilidad ha sido identificada en ZoneAlarm, el
> cortafuegos de Zone Labs, que podría ser explotada para
> eludir ciertas políticas de seguridad.
>
> Este problema se debe a un error de diseño cuando el ZA
> maneja las comunicaciones DDE-IPC (Direct Data Exchange -
> Interprocess Communications), que podría ser utilizado por un
> programa malicioso para acceder a la red, a través de
> programas confiables (marcados como "Trusted"), sin ninguna
> advertencia del cortafuegos.
>
>
> * Productos afectados
>
> - Zone Labs ZoneAlarm versiones gratuitas
> - Zone Labs ZoneAlarm Pro 5.1 y anteriores
>
>
> * Solución
>
> * Usuarios de la versión gratuita
>
> La versión gratuita carece de la característica "Advanced
> Program Control", y por lo tanto no puede impedir esta
> técnica para eludir la protección del cortafuegos.
>
> Se recomienda el uso de un antivirus actualizado para impedir
> la ejecución de archivos potencialmente peligrosos, y las
> prácticas normales de prevención, como las de no aceptar ni
> ejecutar ninguna clase de archivo no solicitado, etc.
>
>
> * Usuarios de la versión de pago
>
> Utilizar las versiones no afectadas por este fallo, en su
> configuración por defecto:
>
> - ZoneAlarm Pro 6.0 y superior
> - ZoneAlarm AntiVirus 6.0 y superior
> - ZoneAlarm Wireless Security 6.0 y superior
> - ZoneAlarm Security Suite 6.0 y superior
>
> Las siguientes versiones pueden proteger al usuario si se
> habilita la característica "Advanced Program Control":
>
> - Check Point Integrity 6.0
> - Check Point Integrity 5.1
>
> NOTA: No solo ZoneAlarm es afectado. Otros cortafuegos "de
> escritorio", también pueden ser vulnerables a esta técnica.
>
>
> * Prueba de concepto
>
> Una prueba de concepto está disponible en el siguiente enlace
> (los documentos incluidos en el archivo -en inglés- explican
> su funcionamiento):
>
> http://hackingspirits.com/vuln-rnd/zabypass.zip
>
> NOTA: El archivo es proporcionado por el descubridor de la
> vulnerabilidad. Su acción permite que un programa no
> autorizado, envíe información a un servidor remoto utilizando
> el Internet Explorer, sin ser detectado por el firewall.
>
>
> * Referencias:
>
> Zone Labs ZoneAlarm Pro
> DDE-IPC Advanced Program Control Bypass Weakness
> http://www.securityfocus.com/bid/14966/info
>
> Zone Labs ZoneAlarm Personal Firewalls Security Bypass
> Weakness
> http://www.frsirt.com/english/advisories/2005/1919
>
> Bypassing Personal Firewall Using "DDE-IPC"
> http://download.zonelabs.com/bin/fr...rt/35.html
>
> Bypassing Personal Firewall (ZoneAlarm Pro) Protection
> http://hackingspirits.com/vuln-rnd/vuln-rnd.html
>
>
> Fuente: www.vsantivirus.com
>
> saludos
> Verónica B.(ez az én aláírásom)
>
>





avast! Antivirus: Mensaje entrante limpio.
Base de datos de Virus (VPS): 0546-4, 18/11/2005
Comprobado el: 21/11/05 02:59:56 p.m.
avast! - copyright (c) 1988-2005 ALWIL Software.
http://www.avast.com

nada de esto sucede en Firewall WINXP, por qué se complican la vida?
G.