Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Escalada de privilegios en ZoneAlarm (TrueVector)
 
VSantivirus No. 2088 Año 10, martes 28 de marzo de 2006

 Escalada de privilegios en ZoneAlarm (TrueVector)
http://www.vsantivirus.com/vul-zonealarm-100306.htm

Por Angela Ruiz
angela@videosoft.net.uy

 [Actualizado: 27/03/06 17:20 -0300]

ZoneLabs ha publicado una versión actualizada de ZoneAlarm, que resuelve una vulnerabilidad en este cortafuego, la cuál podría ser explotada por usuarios malintencionados para elevar sus privilegios y ejecutar código malicioso.

El problema lo ocasiona un error en el archivo del servicio TrueVector (VSMON.EXE), el monitor de Internet de este cortafuegos (y su principal componente).

Cuando el servicio TrueVector se ejecuta, lo hace en una cuenta local con privilegios de sistema. ZoneAlarm carga múltiples bibliotecas (DLLs) como parte de su proceso de inicio, lo que sucede siempre por defecto cada vez que un usuario inicia Windows.

En algunos casos, las DLL pueden no estar presentes en una determinada instalación, pero serán buscadas de todas maneras por el programa. Si alguna de las DLL requeridas aparece en alguno de los directorios examinados, ZoneAlarm las cargará con los mismos privilegios de sistema que tiene VSMON.

Un atacante puede colocar una DLL maliciosa en algún directorio que aparezca en el camino antes de la carpeta del propio ZoneAlarm, logrando que se pueda llegar a ejecutar con los mayores privilegios.

Este tipo de vulnerabilidad puede afectar a cualquier programa que se ejecute con privilegios de sistema y que cargue bibliotecas de forma dinámica buscando en el path que lleva a su propia ubicación.

Para que esta explotación tenga éxito, el usuario debe primero colocar una DLL maliciosa en alguna carpeta que cumpla las condiciones antes mencionadas.

Tenga en cuenta que para que eso ocurra, la computadora debe haber sido comprometida antes por alguna otra clase de ataque (troyano, etc.)

También podría utilizarse ingeniería social para convencer a la víctima a que ella misma coloque la mencionada DLL en el lugar adecuado.

La vulnerabilidad no puede ser explotada de forma remota.


Software vulnerable:

- ZoneAlarm 6.1.744.000 y anteriores

Versiones anteriores a la 6.x también podrían ser vulnerables


Software NO vulnerable:

- ZoneAlarm 6.1.744.001 o superior


Solución:

Actualizarse a la versión no vulnerable. Puede encontrar el enlace a la versión en español en nuestro sitio:

ZoneAlarm 6.1.744.001 (en español) (27/mar/06)
http://www.vsantivirus.com/otros.htm


Referencias:

New and improved features in ZoneAlarm version 6.1.744.001
Fixed - Local escalation of privileges issue
http://download.zonelabs.com/bin/free/information/znalm/zaReleaseHistory.html#6.1.744.001

ZoneAlarm TrueVector Service Local Privilege Escalation Vulnerability
http://www.frsirt.com/english/advisories/2006/0947

Statement Regarding Reported Local Escalation of Privileges Vulnerability for ZoneAlarm
http://www.frsirt.com/english/reference/7141

18 ways to escalate privileges in Zone Labs ZoneAlarm Security Suite build 6.1.744.000
http://www.frsirt.com/english/reference/7064

Página principal de ZoneAlarm
http://www.zonelabs.com/


Créditos:

Reed Arvin


Publicado anteriormente:

VSantivirus No. 2076 Año 10, jueves 16 de marzo de 2006






(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2006 Video Soft BBS