Bypassing Personal Firewall (ZoneAlarm Pro) Protection

تاریخ انتشار:                             28 سپتامبر 2005    12:00AM

تاریخ بروزرسانی:                      28 سپتامبر 2005   09:57PM

CVE:                                         CVE-MAP-NOMATCH

کاشف:                                     Debasis Mohanty

سیستمهای تحت تاثیر: Zone Labs ZoneAlarm Pro 5.1

سیستمهای امن:                      Zone Labs ZoneAlarm Security Suite 5.5

چکیده:

نقطه ضعفی در برنامه ZoneAlarm Pro (دیواره آتشی برای کامپیوترهای Desktop از شرکت Zone Labs) وجود دارد که می تواند سبب دورزدن و عبورکردن از تنظیمات Advanced Program Control این دیواره آتش شود.

اسبهای تروا و برنامه های جاسوسی می توانند از این نقطه ضعف به طور محلی و روی کامپیوتری که برنامه ZoneAlarm Pro در حال اجراست سوء استفاده کنند و از دیوار آتش عبور کنند.

توضیح:

در بسیاری از آخرین نسخه های فایروال های کامپیوترهای Desktop یک نقص و رخنه بسیار قدیمی وجود دارد بطوری که برنامه های خرابکار را قادر می سازد با استفاده از DDE-IPC (Direct Data Exchange – Interprocess Communications) از یک دیوار آتش عبور کنند. این مشکل سبب می گردد یک برنامه غیر قابل اعتماد (un-trusted) از طریق برنامه های تایید شده و مورد اعتماد دیوار آتش مانند Internet Explorer به یک نفوذگر متصل شده و یا اطلاعات شخصی روی کامپیوتر محلی را به یک منبع خارجی مانند سایت های اینترنتی انتقال دهد. این نوع نقطه ضعف در سال 2003 کشف و معرفی شده است.

کد Exploit:

یک برنامه PoC با نام zabypass.exe برای تست کردن این آسیب پذیری موجود در ZoneAlarm Pro توسط کاشف این نقطه ضعف نوشته شده است که در آدرس زیر در دسترس می باشد:

http://hackingspirits.com/vuln-rnd/zabypass.zip

راه حل:

هنوز هیچ Patch مربوط به این گزارش منتشر نشده است و شما باید از آخرین نسخه این برنامه استفاده کنید.

منابع:

Bypassing Personal Firewall (ZoneAlarm Pro) Protection

نویسنده:

محسن شریفی