Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Vulnerabilidad genérica en cortafuegos personales
 
VSantivirus No 2448 Año 11, jueves 17 de mayo de 2007

 Vulnerabilidad genérica en cortafuegos personales
http://www.vsantivirus.com/vul-pfw-hips-160507.htm

Por Angela Ruiz
angela@videosoft.net.uy

Matousec hizo pública una vulnerabilidad que afecta a cortafuegos personales (PFW, Personal Firewalls) y otras utilidades de detección de intrusiones (HIPS, Host Intrusion Prevention System).

La versión 5.0 del kernel de Windows NT (Windows 2000 y superior), utiliza números enteros divisibles por cuatro para identificar los procesos.

La implementación interna de las funciones API del sistema (Application Program Interface, un conjunto de rutinas que las aplicaciones utilizan para solicitar y efectuar servicios del sistema operativo), permite además, la utilización de enteros que no son divisibles por cuatro para estos identificadores.

Esto significa que por cada proceso que se ejecuta en el sistema, pueden existir hasta cuatro identificaciones válidas.

Es posible implementar la manera de detectar identificadores equivalentes, de tal modo que la base de datos de los procesos controlados por un cortafuego personal o por una utilidad de detección de intrusos, interprete erróneamente la llamada a un proceso, y permita una acción que está prohibida (por ejemplo, una conexión a Internet).

Son vulnerables aquellos productos que apliquen ese tipo de protección para procesos críticos, sin tener en cuenta los diferentes tipos de identificadores que pueden ser posibles.

Un programa malicioso podría utilizar esto para eludir dicho software de seguridad, dando a un atacante la posibilidad de tomar el control total del sistema.

Son vulnerables los siguientes productos (y posiblemente versiones anteriores de los mismos):
  • Comodo Firewall Pro 2.4.18.184
  • Comodo Personal Firewall 2.3.6.81
  • ZoneAlarm Pro 6.1.744.001

También pueden ser vulnerables otras aplicaciones del tipo PFW e HIPS.

No es vulnerable el siguiente producto:

  • ZoneAlarm Pro 6.5.737.000 y superiores.

Se ha publicado una prueba de concepto.


Más información:

Bypassing PFW/HIPS open process control with uncommon identifier
http://www.matousec.com/info/advisories/
Bypassing-PWF-HIPS-open-process-control-with-uncommon-identifier.php

Bypassing PFW/HIPS open process control with uncommon identifier
http://www.securityfocus.com/archive/1/468643/30/0/threaded


Créditos:

Matousec - Transparent security Research
http://www.matousec.com/






(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2007 Video Soft BBS