---ZONEDOWN.BAT ---
@echo off
@echo Shutting down ZoneAlarm and ZoneAlarm Pro, one moment...
c:\progra~1\zonela~1\zoneal~1\zapro.exe -unload
c:\progra~1\zonela~1\zoneal~1\zoneal~1.exe -unload
%windir%\system\zonelabs\vsmon.exe -unload -uninstall
%windir%\system\zonelabs\minilog.exe -unload -uninstall
%windir%\system32\zonelabs\vsmon.exe -unload -uninstall
%windir%\system32\zonelabs\minilog.exe -unload -uninstall
@echo Finished
@echo on
---Fin---

Esta falla fue notificada a Zone Labs el pasado 27 de diciembre.

Zone Alarm bloqueado para impedir que sea cargado

La segunda vulnerabilidad reportada por Diamond Computer Systems, se basa en el uso por parte de ambas versiones del ZA de un evento residente en memoria, llamado Mutex, el cuál puede ser creado con un simple API (CreateMutex).

Si este evento está en memoria, el ZoneAlarm asume que existe una sesión del mismo ejecutándose actualmente, negándose por lo tanto a hacerlo por segunda vez (esto previene la múltiple carga del programa en memoria, quedándose siempre con la primera de ellas, algo que también suelen hacer otros programas de Windows).

El problema, según DCS, es que el ZA no tiene forma de determinar que programa ha instalado el evento Mutex. Esto puede permitir que un troyano pueda crear y cargar un evento Mutex, bloqueando la carga del ZA verdadero.

La forma de hacerlo es muy sencilla, a través de una llamada al API mencionado (más información sobre el uso de los Mutex en http://msdn.microsoft.com).

En caso de que el ZA y sus programas asociados (zonealarm.exe, vsmon.exe y minilog.exe) estuvieran ya ejecutándose, sería necesario "matar" primero dichos procesos para que un nuevo Mutex sea creado. Esto podría hacerse cambiando los privilegios de estos programas con SeDebugPrivilege.

DCS notificó de esto a Zone Labs en octubre de 2000, haciendo incluso la sugerencia de encriptar el Mutex, pero la compañía decidió no hacerlo, esgrimiendo razones de que una encriptación no sería la mejor manera de impedir esta acción, debido a la forma en como debería implementarse.

Según opina DCS, esta respuesta deja a los autores de troyanos, el camino libre para aprovechar esto en su beneficio.

Existe un pequeño programa (16 Kb), que permite realizar una demostración de esta vulnerabilidad en http://www.diamondcs.com.au/alerts/zonemutx.exe.

Este programa de demostración, impide la carga del ZA, o lo descarga primero, si ya estuviera ejecutándose. Como parte de la demostración, también abre el puerto TCP 7 y lo deja en escucha, permitiendo probar la conectividad (puede ser probado con una conexión a través de Telnet al localhost, 127.0.0.1, en el puerto 7).

La opinión de algunos expertos

Para algunos expertos, parece notoria la aparición de reportes de fallas de seguridad por parte de compañías o grupos, muchas veces con claras intenciones de publicidad, y sin una verdadera investigación sobre las posibilidades reales del riesgo de las fallas que se describen.

Para otros, el crecimiento de la industria de la seguridad, también trae aparejado un aumento de grupos de investigación, lo que de por si no puede considerarse mala cosa, ya que también aumenta la posibilidad de mantener informados a los usuarios, y a las empresas creadoras de software para que estas mejoren sus productos. Tal vez por aquello que cuatro ojos ven más que dos.

Lo cierto, es que en este caso, como en el mencionado en un reciente reporte sobre otra vulnerabilidad del ZA, en nuestro boletín VSantivirus No. 167 (ver detalles en las referencias al pie de este artículo), existen varios puntos que escapan a la descripción dada arriba, y que es necesario tener en cuenta.

¿La desinstalación del ZA, es un riesgo?

Admitamos que si, que el no tener activo el ZA cuando estamos conectados a Internet es un riesgo. Y también podría serlo que un troyano no solo lo deshabilitara, sino que tomara el control de algún modo, de otras tareas, incluso de nuestra computadora.

Bueno, pero para minimizar los riesgos de virus y troyanos capaces de hacer eso es que también usamos antivirus, ¿no?.

Además, habría que tener en cuenta la desaparición del icono del ZA en la bandeja del sistema. Aunque por supuesto que un caballo de Troya podría engañarnos, tomando su lugar, para pasar desapercibido.

Sin embargo, la misma posibilidad (o casi) la tendría de sustituir un antivirus con la misma técnica.

Por otra parte, razonemos que un troyano capaz de modificar los privilegios de ciertos programas para desactivarlos, bien podría realizar un mayor daño atacando de este modo al propio sistema operativo.

¿Entonces?

Ningún antivirus es infalible 100% (ni tampoco un virus). De modo que la recomendación de mantener un antivirus al día, y la de revisar todo archivo nuevo antes de ejecutarlo con uno o dos antivirus (también actualizados), reduce el riesgo de que un troyano se active en nuestro sistema.

Y esto nos trae a la situación del principio. Jamás debemos confiarnos únicamente en un antivirus, como jamás deberemos hacerlo SOLO del Zone Alarm.

Referencias:

ZoneAlarm and ZoneAlarm Pro can be taken down with a tiny batch file
http://www.diamondcs.com.au/alerts/zonedown.txt

ZoneAlarm and ZoneAlarm Pro can be blocked from loading by setting a Mutex in memory
http://www.diamondcs.com.au/alerts/zonemutx.txt 


Ver también:
VSantivirus No. 167
22/dic/00 - Vulnerabilidades detectadas en ZoneAlarm 2.1.44