Se ha anunciado la existencia de una vulnerabilidad en el driver
instalado por el cortafuegos ZoneAlarm por la que un usuario local
podrá lograr la ejecución de código arbitrario con todos los
privilegios.
ZoneAlarm es un cortafuegos personal para ordenadores que ejecuten el
sistema operativo Windows que realiza dos funciones: evitar el acceso
no autorizado desde el exterior hacia el ordenador donde está
instalado el cortafuegos e identificar que aplicaciones están
accediendo a recursos externos.
Un usuario local puede enviar un mensaje especialmente creado al
VSDATANT TrueVector Device Driver para sobrescribir la memoria. De
esta forma, el usuario local podrá ganar privilegios en el ring0
(control total del sistema).
El usuario local deberá enviar una señal para sobrescribir una
dirección de memoria específica (que contenga el código arbitrario del
usuario) y después enviar una segunda señal que provoque el salto del
sistema a código alimentado por el atacante.
antonior@hispasec.com
Más información:
ZoneAlarm Buffer Overflow in VSDATANT Device Driver Yields System
Privileges to Local Users
http://www.securitytracker.com/alerts/2003/Aug/1007420.html
Local ZoneAlarm Firewall (probably all versions – tested on v3.1)
Device Driver vulnerability
http://sec-labs.hack.pl/advisories/seclabs-adv-zone-alarm-04-08-2003.txt
Win32 Device Drivers Communication Vulnerabilities
http://sec-labs.hack.pl/papers/win32ddc.php
Deja un comentario