Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Falla en el MailSafe de ZoneAlarm es de riesgo mínimo
 
VSantivirus No. 640 - Año 6 - Lunes 8 de abril de 2002

 Falla en el MailSafe de ZoneAlarm es de riesgo mínimo
http://www.vsantivirus.com/vul-mailsafe-za.htm

Por Jose Luis Lopez
videosoft@videosoft.net.uy

Recientemente, han sido anunciadas algunas vulnerabilidades en el cortafuegos ZoneAlarm de la empresa ZoneLab.

Existen dos versiones de este producto, una de ella gratuita para uso personal. Ambas versiones, incorporan la habilidad de detectar y poner en cuarentena los archivos adjuntos al correo electrónico, que pudieran ser potencialmente peligrosos.

Esto se realiza cambiándole la extensión por una propia (en realidad por varias extensiones, por ejemplo, los archivos .EXE son renombrados como .ZL9, los .VBS como .ZLV, .COM como .ZL6, etc.).

De este modo, cuando el usuario intenta abrir el adjunto, el ZoneAlarm se encarga de emitir un mensaje de advertencia (solo se abrirá luego de sortear las preguntas de dos o tres ventanas). Esto solo evita la ejecución accidental, pero de ningún modo significa que el archivo esté infectado, solo evita que aquellos archivos potencialmente peligrosos puedan ejecutarse por error, sin haber sido revisados antes con un par de antivirus, como siempre deberíamos hacer.

Las fallas detectadas, han sido reportadas a ZoneLab, y serán corregidas en futuras versiones. La compañía que las descubrió no las reveló aún en detalle, salvo una, para la cuál existe un actualización, aunque solo para la versión Pro (la de pago) al momento de escribir este artículo.

Sin embargo, nuestras pruebas demostraron que la falla tiene poca peligrosidad, ya que no se cumple exactamente lo que la advertencia indica.

Esta falla en concreto, permite pasar por alto la protección de las extensiones (llamada por ZoneAlarm "MailSafe protection").

La forma de hacerlo, es manipular el mensaje de modo que el nombre del adjunto posea un punto detrás de la extensión. Por ejemplo:

nombre.exe.

El punto extra después de la extensión, causa que ZoneAlarm no renombre el adjunto a nombre.zl9 como sería el caso.

Según la advertencia, el sistema operativo ignoraría el último punto, y un doble clic en el adjunto, ejecutaría el archivo nombre.exe (sin punto final).

Sin embargo, en nuestras pruebas, el comportamiento fue diferente a como se anuncia.

Si hacemos doble clic sobre el archivo nombre.exe. (el segundo punto no es visible) saldrá el clásico cuadro de diálogo para abrirlo o guardarlo. Si seleccionamos abrirlo (cosa que nunca deberíamos hacer, como siempre hemos aconsejado, sin revisar antes cualquier adjunto recibido), entonces se produce un error, y el adjunto no se ejecuta (al contrario de lo que dice el informe). Ello ocurre porque efectivamente, el sistema operativo ignora el último punto y copia el archivo al disco como nombre.exe (sin el punto) para luego ejecutarlo, pero la orden de ejecución hace referencia al archivo con el punto (nombre.exe.). Resultado, un mensaje como el siguiente, e imposibilidad de que el archivo se ejecute:

nombre
No se puede encontrar el archivo 'C:\Windows\Archivos temporales de Internet\Content.IE5\HK1FV22G\nombre.exe.'.
Asegúrese de que el archivo exista en el sistema y de que la ruta de acceso y el nombre sean correctos.
[    Aceptar    ]

Sin embargo, si decidimos guardarlo al disco para luego ejecutarlo, se guarda como antes sin el último punto (nombre.exe), estando entonces disponible y ejecutándose si hacemos un doble clic sobre el archivo, ya copiado en una carpeta determinada, NO desde el propio clip del adjunto al mensaje.

Esta situación entraña poco riesgo, ya que de por si es lógica (un programa en una carpeta se ejecuta siempre si hacemos doble clic sobre él). La protección pasa por revisar siempre esa carpeta con los archivos descargados, antes de ejecutarlos por primera vez.

Por lo tanto la vulnerabilidad reportada en el ZA entraña poco riesgo. Las demás, no han sido reveladas, por lo tanto tampoco son de cuidado por el momento.

Existe una actualización del ZoneAlarm pero para la versión Pro (la de pago), v3.0.118.

La versión gratuita (2.6.362) no ha sido actualizada, pero como vimos, la vulnerabilidad del segundo punto, no significa un riesgo importante para el funcionamiento del programa.


Referencias:

Various Vulnerabilities in ZoneAlarm MailSafe
http://www.edvicesecurity.com/ad02-02.htm

VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS