Ejecución de código a través de productos Zone Alarm
Se han detectado varias vulnerabilidades en productos Check Point Zone Alarm que podrían ser aprovechadas por atacantes, para comprometer un sistema vulnerable.
El fallo está localizado en los IOCTL handlers 0x22208F y 0x2220CF
dentro del driver srescan.sys. Los parámetros Irp no son correctamente
verificados, por lo que un atacante podría utilizar estos IOCTL para
realizar una escritura en memoria. Para IOCTL 0x2220CF, el atacante
podría introducir el valor constante 0x30000, mientras que para IOCTL
0x22208F podría escribir el contenido del buffer devuelto por
ZwQuerySystemInformation.
Esta vulnerabilidad podría provocar:
* La ejecución de código dentro del contexto del kernel.
* Gracias a que los mecanismos de control de acceso configurados por
defecto permiten que cuentas restringidas puedan acceder a los drivers
del dispositivo afectado, un atacante podría conseguir una escalada de
privilegios al nivel de SYSTEM.
Se ha confirmado la existencia de estas vulnerabilidades para la versión
5.0.63.0 de srescan.sys instalado con la versión Zone Alarm Free, pero
no se descarta que otras versiones puedan estar también afectadas.
Se recomienda cambiar la configuración de los mecanismos de control de acceso así como actualizar a la versión 5.0.156.0 o superior de ZoneAlarm Spyware Removal Engine desde:
http://www.zonealarm.com/store/content/catalog/download_buy.jsp?dc=12bms&ctry=US&lang=en
iDefense Labs:
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=517
Reversemode:
http://www.reversemode.com/index.php?option=com_remository&Itemid=2&func=fileinfo&id=48
Fuente: http://www.hispasec.com/unaaldia/3107/
El fallo está localizado en los IOCTL handlers 0x22208F y 0x2220CF
dentro del driver srescan.sys. Los parámetros Irp no son correctamente
verificados, por lo que un atacante podría utilizar estos IOCTL para
realizar una escritura en memoria. Para IOCTL 0x2220CF, el atacante
podría introducir el valor constante 0x30000, mientras que para IOCTL
0x22208F podría escribir el contenido del buffer devuelto por
ZwQuerySystemInformation.
Esta vulnerabilidad podría provocar:
* La ejecución de código dentro del contexto del kernel.
* Gracias a que los mecanismos de control de acceso configurados por
defecto permiten que cuentas restringidas puedan acceder a los drivers
del dispositivo afectado, un atacante podría conseguir una escalada de
privilegios al nivel de SYSTEM.
Se ha confirmado la existencia de estas vulnerabilidades para la versión
5.0.63.0 de srescan.sys instalado con la versión Zone Alarm Free, pero
no se descarta que otras versiones puedan estar también afectadas.
Se recomienda cambiar la configuración de los mecanismos de control de acceso así como actualizar a la versión 5.0.156.0 o superior de ZoneAlarm Spyware Removal Engine desde:
http://www.zonealarm.com/store/content/catalog/download_buy.jsp?dc=12bms&ctry=US&lang=en
iDefense Labs:
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=517
Reversemode:
http://www.reversemode.com/index.php?option=com_remository&Itemid=2&func=fileinfo&id=48
Fuente: http://www.hispasec.com/unaaldia/3107/
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!