ZoneAlarm puede permitir el robo de información

VSantivirus No. 1082 Año 7, Martes 24 de junio de 2003

ZoneAlarm puede permitir el robo de información
http://www.vsantivirus.com/vul-za-shell.htm

Por Enciclopedia Virus (*)
http://www.enciclopediavirus.com/

ZoneAlarm puede permitir el robo de información de nuestra computadora, sin que el usuario pueda detectar la transferencia, según se ha revelado en conocidas listas de seguridad. La falla podría afectar también a otros cortafuegos, y se basa en el uso normal de Windows.

Una posible forma de eludir al cortafuego ZoneAlarm ha sido publicada recientemente en Internet.

La misma se basa en la utilización de funciones ampliamente documentadas de la librería de Windows "shell32.dll", en especial la que permite la ejecución de una aplicación asociada al parámetro enviado.

La función en cuestión es "ShellExecute", utilizada en este caso con un parámetro que hace referencia a un URL (Uniform Resources Locator o Localizador Uniforme de Recursos). Cuando ello sucede, Windows invoca al navegador por defecto con dicha URL (normalmente una dirección de Internet).

Cómo el navegador por lo general siempre tiene permiso para conectarse a Internet, ZoneAlarm no indicará nada anormal durante la conexión.

Un ejemplo muestra como se puede utilizar para enviar contraseñas y nombres de usuario robados de la máquina que hace la conexión. El navegador pasa esta información hacia Internet, sin que el usuario pueda detectar la transferencia.

La información robada está limitada al máximo permitido en el largo del URL, pero esto podría ser más que suficiente para que una aplicación maliciosa, como un troyano, pueda enviar información crítica al servidor de un pirata informático.

El "truco" fue probado con la versión 3.1.395 gratuita del ZoneAlarm, pero seguramente puede funcionar con todas las demás versiones, incluso las de pago.

Aunque la revelación de esta vulnerabilidad solo menciona al ZA, es posible se pueda aplicar a otros cortafuegos, ya que se basa en el uso normal de una aplicación que es casi seguro siempre tenga habilitado el derecho de conexión a Internet, o sea el navegador por defecto usado por el usuario.

No hay respuesta del fabricante a este problema. La única recomendación dada por el descubridor de la falla, es no permitir la conexión por defecto del navegador, y hacerlo por demanda, cada vez que se sigue un enlace, cosa bastante engorrosa por cierto.

Más información de esta falla:

http://www.securityfocus.com/archive/1/326371

Nota VSAntivirus (25/jun/03):

ZoneAlarm Pro (la versión de pago), tiene una característica adicional que evita pueda usarse esta vulnerabilidad. En "Advanced Program Control", se debe configurar en "High" la opción "Program Control" (esto en la versión gratuita no se puede hacer. Aún cuando existe dicha opción, la misma está desactivada). Con esta característica activa, cada vez que un programa intente usar a otro para acceder a Internet, un mensaje de alerta como el siguiente le advertirá:

Do you want to allow PROGRAMA.EXE to use
Internet Explorer to access the Internet?

Nota VSAntivirus (22/jul/03):

Está disponible la versión 3.7.202 de ZoneAlarm FREEWARE que soluciona este problema. Pinche aquí para descargarla.

[Publicado con autorización de Enciclopedia Virus]

(*) Este artículo, original de Enciclopedia Virus http://www.enciclopediavirus.com, es publicado en VSAntivirus.com con la respectiva autorización. Los derechos de republicación para su uso en otro medio, deberán solicitarse en http://www.enciclopediavirus.com/contacto/index.php

Artículo original:
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=177

Relacionados:

ZoneAlarm arreglaría la falla en su versión gratuita
http://www.vsantivirus.com/07-07-03.htm

Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com