Bypassing Personal Firewall (ZoneAlarm Pro) Protection

تاريخ انتشار:                             28 سپتامبر 2005    12:00AM

تاريخ بروزرساني:                      28 سپتامبر 2005   09:57PM

CVE:                                         CVE-MAP-NOMATCH

كاشف:                                     Debasis Mohanty

سيستمهاي تحت تاثير: Zone Labs ZoneAlarm Pro 5.1

سيستمهاي امن:                      Zone Labs ZoneAlarm Security Suite 5.5

چكيده:

نقطه ضعفي در برنامه ZoneAlarm Pro (ديواره آتشي براي كامپيوترهاي Desktop از شركت Zone Labs) وجود دارد كه مي تواند سبب دورزدن و عبوركردن از تنظيمات Advanced Program Control اين ديواره آتش شود.

اسبهاي تروا و برنامه هاي جاسوسي مي توانند از اين نقطه ضعف به طور محلي و روي كامپيوتري كه برنامه ZoneAlarm Pro در حال اجراست سوء استفاده كنند و از ديوار آتش عبور كنند.

توضيح:

در بسياري از آخرين نسخه هاي فايروال هاي كامپيوترهاي Desktop يك نقص و رخنه بسيار قديمي وجود دارد بطوري كه برنامه هاي خرابكار را قادر مي سازد با استفاده از DDE-IPC (Direct Data Exchange – Interprocess Communications) از يك ديوار آتش عبور كنند. اين مشكل سبب مي گردد يك برنامه غير قابل اعتماد (un-trusted) از طريق برنامه هاي تاييد شده و مورد اعتماد ديوار آتش مانند Internet Explorer به يك نفوذگر متصل شده و يا اطلاعات شخصي روي كامپيوتر محلي را به يك منبع خارجي مانند سايت هاي اينترنتي انتقال دهد. اين نوع نقطه ضعف در سال 2003 كشف و معرفي شده است.

كد Exploit:

يك برنامه PoC با نام zabypass.exe براي تست كردن اين آسيب پذيري موجود در ZoneAlarm Pro توسط كاشف اين نقطه ضعف نوشته شده است كه در آدرس زير در دسترس مي باشد:

http://hackingspirits.com/vuln-rnd/zabypass.zip

راه حل:

هنوز هيچ Patch مربوط به اين گزارش منتشر نشده است و شما بايد از آخرين نسخه اين برنامه استفاده كنيد.

منابع:

Bypassing Personal Firewall (ZoneAlarm Pro) Protection

نويسنده:

محسن شريفي