Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

El Zone Alarm vulnerable a ser desinstalado o bloqueado
 
VSantivirus No. 179 - Año 5 - Miércoles 3 de enero de 2001

Dos vulnerabilidades del software Zone Alarm, un cortafuego de uso personal, que protege nuestra computadora del acceso no autorizado de troyanos y otros programas o códigos maliciosos, han sido reportadas por Diamond Computer Systems, el pasado 30 de diciembre.

Ambas vulnerabilidades afectan al Zone Alarm (la versión gratuita), y Zone Alarm Pro (la versión comercial).

Zone Alarm puede deshabilitarse con un simple .BAT

Según Diamond Computer Systems (DCS), la primera de estas vulnerabilidades permitiría que ambos programas puedan ser desinstalados, a través de llamadas a sus propios, ejecutables acompañados de comandos en forma de parámetros como unload y uninstall. Estos ejecutables serían zonealarm.exe en la versión gratuita y zapro.exe en la comercial, además de los archivos relacionados vsmon.exe, y minilog.exe.

Un troyano podría ejecutar estos comandos, deshabilitando el ZA. Para ello, sería trivial examinar en el registro su ubicación (una de tantas maneras para localizar sus ejecutables), y luego tomar las acciones necesarias para realizar la desinstalación.

Zone Labs (la compañía creadora del ZA), reconoce esta facilidad de desinstalación, puesto que en la versión PRO, se han agregado opciones que permiten configurar una contraseña para esta acción. Pero esto no está disponible en todas las versiones.

En el sitio de DCS se muestra un sencillo .BAT capaz de realizar esta acción, solo como demostración, ya que no se toman precauciones para asegurarse de la ubicación de los archivos involucrados.

---ZONEDOWN.BAT ---
@echo off
@echo Shutting down ZoneAlarm and ZoneAlarm Pro, one moment...
c:\progra~1\zonela~1\zoneal~1\zapro.exe -unload
c:\progra~1\zonela~1\zoneal~1\zoneal~1.exe -unload
%windir%\system\zonelabs\vsmon.exe -unload -uninstall
%windir%\system\zonelabs\minilog.exe -unload -uninstall
%windir%\system32\zonelabs\vsmon.exe -unload -uninstall
%windir%\system32\zonelabs\minilog.exe -unload -uninstall
@echo Finished
@echo on
---Fin---

Esta falla fue notificada a Zone Labs el pasado 27 de diciembre.

Zone Alarm bloqueado para impedir que sea cargado

La segunda vulnerabilidad reportada por Diamond Computer Systems, se basa en el uso por parte de ambas versiones del ZA de un evento residente en memoria, llamado Mutex, el cuál puede ser creado con un simple API (CreateMutex).

Si este evento está en memoria, el ZoneAlarm asume que existe una sesión del mismo ejecutándose actualmente, negándose por lo tanto a hacerlo por segunda vez (esto previene la múltiple carga del programa en memoria, quedándose siempre con la primera de ellas, algo que también suelen hacer otros programas de Windows).

El problema, según DCS, es que el ZA no tiene forma de determinar que programa ha instalado el evento Mutex. Esto puede permitir que un troyano pueda crear y cargar un evento Mutex, bloqueando la carga del ZA verdadero.

La forma de hacerlo es muy sencilla, a través de una llamada al API mencionado (más información sobre el uso de los Mutex en http://msdn.microsoft.com).

En caso de que el ZA y sus programas asociados (zonealarm.exe, vsmon.exe y minilog.exe) estuvieran ya ejecutándose, sería necesario "matar" primero dichos procesos para que un nuevo Mutex sea creado. Esto podría hacerse cambiando los privilegios de estos programas con SeDebugPrivilege.

DCS notificó de esto a Zone Labs en octubre de 2000, haciendo incluso la sugerencia de encriptar el Mutex, pero la compañía decidió no hacerlo, esgrimiendo razones de que una encriptación no sería la mejor manera de impedir esta acción, debido a la forma en como debería implementarse.

Según opina DCS, esta respuesta deja a los autores de troyanos, el camino libre para aprovechar esto en su beneficio.

Existe un pequeño programa (16 Kb), que permite realizar una demostración de esta vulnerabilidad en http://www.diamondcs.com.au/alerts/zonemutx.exe.

Este programa de demostración, impide la carga del ZA, o lo descarga primero, si ya estuviera ejecutándose. Como parte de la demostración, también abre el puerto TCP 7 y lo deja en escucha, permitiendo probar la conectividad (puede ser probado con una conexión a través de Telnet al localhost, 127.0.0.1, en el puerto 7).

La opinión de algunos expertos

Para algunos expertos, parece notoria la aparición de reportes de fallas de seguridad por parte de compañías o grupos, muchas veces con claras intenciones de publicidad, y sin una verdadera investigación sobre las posibilidades reales del riesgo de las fallas que se describen.

Para otros, el crecimiento de la industria de la seguridad, también trae aparejado un aumento de grupos de investigación, lo que de por si no puede considerarse mala cosa, ya que también aumenta la posibilidad de mantener informados a los usuarios, y a las empresas creadoras de software para que estas mejoren sus productos. Tal vez por aquello que cuatro ojos ven más que dos.

Lo cierto, es que en este caso, como en el mencionado en un reciente reporte sobre otra vulnerabilidad del ZA, en nuestro boletín VSantivirus No. 167 (ver detalles en las referencias al pie de este artículo), existen varios puntos que escapan a la descripción dada arriba, y que es necesario tener en cuenta.

¿La desinstalación del ZA, es un riesgo?

Admitamos que si, que el no tener activo el ZA cuando estamos conectados a Internet es un riesgo. Y también podría serlo que un troyano no solo lo deshabilitara, sino que tomara el control de algún modo, de otras tareas, incluso de nuestra computadora.

Bueno, pero para minimizar los riesgos de virus y troyanos capaces de hacer eso es que también usamos antivirus, ¿no?.

Además, habría que tener en cuenta la desaparición del icono del ZA en la bandeja del sistema. Aunque por supuesto que un caballo de Troya podría engañarnos, tomando su lugar, para pasar desapercibido.

Sin embargo, la misma posibilidad (o casi) la tendría de sustituir un antivirus con la misma técnica.

Por otra parte, razonemos que un troyano capaz de modificar los privilegios de ciertos programas para desactivarlos, bien podría realizar un mayor daño atacando de este modo al propio sistema operativo.

¿Entonces?

Ningún antivirus es infalible 100% (ni tampoco un virus). De modo que la recomendación de mantener un antivirus al día, y la de revisar todo archivo nuevo antes de ejecutarlo con uno o dos antivirus (también actualizados), reduce el riesgo de que un troyano se active en nuestro sistema.

Y esto nos trae a la situación del principio. Jamás debemos confiarnos únicamente en un antivirus, como jamás deberemos hacerlo SOLO del Zone Alarm.

Referencias:

ZoneAlarm and ZoneAlarm Pro can be taken down with a tiny batch file
http://www.diamondcs.com.au/alerts/zonedown.txt

ZoneAlarm and ZoneAlarm Pro can be blocked from loading by setting a Mutex in memory
http://www.diamondcs.com.au/alerts/zonemutx.txt 


Ver también:
VSantivirus No. 167
22/dic/00 - Vulnerabilidades detectadas en ZoneAlarm 2.1.44

 

Copyright 1996-2001 Video Soft BBS