Lek in gratis versies ZoneAlarm firewall...

[gezina]

Softwareontwikkelaars hebben in het gratis firewall pakket ZoneAlarm een lek ontdekt dat hackers in staat stelt om de beveiliging ongedaan te maken. Het gaat om alle gratis versies van de software.

Het lek werd het eerst gemeld op de Bugtraq mailinglist, de belangrijkste bron voor nieuwe lekken in software. Het lek kan ontstaan door misbruik van de “Win32 ShellExecute”-functie in Windows. Daardoor kan een hacker toch een pc verbinden laten maken met het internet, ondanks de bescherming van de firewall. Het slachtoffer moet daarvoor wel eerst geklikt hebben op een geïnfecteerde internet pop-up bericht of een e-mail.

Het misbruik van het lek is al gemeld en ZoneAlarm-maker Zonelabs zegt de fout te bekijken. Een patch zal het probleem niet kunnen oplossen, omdat de fout in de kern van de software zit, en dat onderdeel is niet met een kleine aanpassing te wijzigen. Alleen een nieuwe versie kan pas weer veilig genoemd worden. In de betaalde Pro-versie van ZoneAlarm kan misbruik van het lek voorkomen worden door enkele instellingen te wijzigen.

Wie de gratis versie van ZoneAlarm gebruikt moet oppassen niet op vreemde pop-up vensters te klikken. En natuurlijk tijdig de virusscanner bij te werken, totdat een nieuwe versie van ZoneAlarm te downloaden is.

ZDNet

Was al eerder aan de orde, toen ging het om de betaalde versies.
Was net van plan voor m'n nieuwe pc (als deze het weer doet) de nieuwe gratis ZA-versie 3.7.193 er op te zetten ipv van de NIS 2003.

 

[Pepermuntje]

Ik was sowieso al niet echt kapot van Zonealarm. Op mijn pc veroorzaakte die alleen maar problemen met de verbinding. Heb al enige tijd Norton Internet Security en dat werkt perfect. Nooit problemen mee. Natuurlijk kun je gratis software niet vergelijken met niet-gratis software, maar toch.

 

[caveman]

Geplaatst door Pepermuntje
Natuurlijk kun je gratis software niet vergelijken met niet-gratis software, maar toch.

Een gegeven paard niet in de bek kijken, gaat niet op bij software. Het moet gewoon goed werken. ZoneAlarm zal toch een nieuwe versie moeten schrijven of de gratis versie laten vallen.

 

[gezina]

Mee eens Caveman, de makers van ZA mogen trouwens wel uitkijken, de goede naam die ze toch hebben wordt nu toch ernstig aangetast op die manier. En die gratis versie ZoneAlarm 3.7.193 is net uit, 2003-06-27, kan die ook de prullenbak in. Voor de volhouders: download

 

[nteusink]

ach ja, meer ouds dan nieuws:

http://tooleaky.zensoft.com/

http://keir.net/firehole.html

 

[caveman]

Deze vorm van inbreken in firewalls is meer de schuld van de manier waarop windows in elkaar zit. Een beetje firewall scheidt de interface van de eigenlijke firewall, zodat de 'engine' vrij blijft van 'exploits' op de grafische vensters.

Kerio 2.1.5 is ook recentelijk geupdate vanwege een lek, al was die minder serieus dan waar ZA nu tegenaan kijkt. Mochten ze passief blijven dan kwijnt de gratis versie wel weg, aangezien geen softwaresite die dan nog zal aanprijzen. Helaas werken veel sites hun informatie niet snel genoeg bij.

 

[caveman]

Geplaatst door nteusink
ach ja, meer ouds dan nieuws:

Er is ook veel discussie over het nut van die lektools op verschillende fora. Eigenlijk zegt het niet zoveel, omdat ze niet afdoende rekening houden met de specifieke eigenschappen van de verschillende firewalls. Wel bekeken is het vergelijken van NIS en Kerio, of van ZA en BlackIce appels en peren vergelijken.

 

[nteusink]

Geplaatst door caveman
Er is ook veel discussie over het nut van die lektools op verschillende fora. Eigenlijk zegt het niet zoveel, omdat ze niet afdoende rekening houden met de specifieke eigenschappen van de verschillende firewalls. Wel bekeken is het vergelijken van NIS en Kerio, of van ZA en BlackIce appels en peren vergelijken.

Tja maar meestal werken ze wel, maar natuurlijk ben je meestal beperkt in het zenden van berichtjes (die natuurlijk wel passwords kunnen bevatten)... het is ook bijna onmogelijk om jezelf te beschermen tegen die dingen. Een manier zou zijn IE alle rechten in zonealarm afnemen en een andere browser gaan gebruiken... en dan wachten tot die misbruikt gaat worden...

 

[caveman]

Mozilla!

 

[nteusink]

Geplaatst door caveman
Mozilla!

Precies, tot iemand iexplore.exe gaat vervangen door mozilla.exe in zo'n proggie (niemand neemt waarschijnlijk de moeite ). Hoewel je bij mozilla de source natuurlijk aan zou kunnen passen zodat dat niet meer werkt

 

[nteusink]

Er komt overigens wel een fix:

http://www.security.nl/artikel.php3?id=5202

Een aantal dagen geleden werd bekend dat de gratis versie van ZoneLabs' firewall een serieus lek bevatte. De enige oplossing die de fabrikant bood was het upgraden naar de betaalde versie van hun firewall serie. Donderdag liet ZoneLabs zelfs nog weten dat het lek zo moeilijk was te misbruiken dat gebruikers van de gratis versie zich geen zorgen hoefde te maken. Het bedrijf is echter van zijn eerste beslissing teruggekomen en heeft nu besloten om toch een patch beschikbaar te stellen.

http://www.extremetech.com/article2/0,3973,1179181,00.asp

Earlier this week, company executives characterized the difficulty of exploiting the hole as "the equivalent of hacker brain surgery" and said the cost to upgrade a free product would be prohibitive.

Hmm.... als hersenchirurgie zo makkelijk is, misschien moet ik toch maar voor de studie medicijnen ipv informatica gaan

 

[meelman]

Geplaatst door nteusink
Er komt overigens wel een fix:

http://www.security.nl/artikel.php3?id=5202
[/url]

http://www.pcflank.com/news030703.htm ???
jouw bericht is recenter dus er zal wel een patch komen.

Als ik het goed begrijp geldt dit niet voor Zonealam Pro?

 

[nteusink]

Geplaatst door meelman

http://www.pcflank.com/news030703.htm ???
jouw bericht is recenter dus er zal wel een patch komen.

Als ik het goed begrijp geldt dit niet voor Zonealam Pro?

Ja zonealarm heeft eerst een tijdje geroepen dat ze het niet gingen patchen, maar daar komen ze nu dus op terug. en zonealarm pro schijnt inderdaad niet kwetsbaar te zijn voor dit soort aanvallen.

 

[saldos]

Zonealarm heeft veel lekken de laatste tijd.
Dit was ook een lek in zonealarm:

lek1

En dit was weer een andere lek in zonealarm:

lek2

 

[saldos]

ZoneLabs will not fix a vulnerability

ZoneLabs will not fix a vulnerability in free version of Zone Alarm firewall.

ZoneLabs executives confirmed they will not fix a security flaw found in the freeware version of its ZoneAlarm firewall. The company said the vulnerability was a problem found in Windows operating system, not its firewall, and that it would require too much efforts and skills from the hacker to exploit it.

To escape the threat ZoneLabs recommends users to switch from the freeware version to ZoneAlarm Pro or ZoneAlarm Plus.

The info about the vulnerability was submitted to BugTraq mailing list on June 23th by a poster nicknamed "aceh".

According to the posting the vulnerability engages the Windows shell32.dll file, which can invoke the ShellExecute function. This function allows setting one of its parameters (lpFile) to a Web Address. When the function is run Windows will open default web browser in order to access that Web Address. When accessing the web address function can send user passwords and credit card numbers to malicious web server. The user can be even redirected to legitimate web address (like www.microsoft.com) and will not suspect anything.

"Aceh" tested this on ZoneAlarm 3.1.395 (freeware) but he claims "that all versions can be tricked if the user has granted access to his default web browser by default" which is very likely.

Although not stated clearly, but in order to exploit the flaw the hacker would have to plague a Trojan onto the victim's computer. Trojans are usually send as email attachments or by some other means and once executed or opened the Trojan infects the system.

"The likelihood of you being vulnerable with even our free product is very low," said Fred Felman, vice-president of products at ZoneLabs. "It would require you being very sloppy with how you treat your email and your email attachments, and what applications you allow access to the Internet." It would require code to be interjected on a PC either through administrative access or by opening a malicious email attachment, he said.

Furthermore, he said, since the vulnerability was tied to Windows, the vulnerability would also affect other firewall manufacturers and not just ZoneAlarm.

The situation reminds the famous leak tests (Firehole, TooLeaky etc) issues when firewall developers refused to fix it due it was Windows problem and not firewall's flaw. However most firewalls vendors finally blocked those leak tests by adding DLL control features to their applications.

Ironically ZoneLabs can make good use of this vulnerability by pushing users to switch from freeware to Pro or Plus version in order to escape the threat.


Bron: www.pcflank.com

 

[gezina]

Ziezo, met dit verhaal heeft ZA toch wel een beetje voor mij afgedaan, de tip upgraden naar een betaalde versie vind ik een slag in het gezicht van de gebruiker, schaf dan gewoon de gratis versie af en ga als de donder aan het werk om de betaalde versie goed te krijgen want daar mankeert ook nog het nodige kennelijk aan, qua links van Saldos. (zelf heb ik nu NIS '03 op een andere pc) Laat onverlet dat MS ook nog steeds behoorlijke steken laat vallen...grrrrrrrrrh. Thnx voor de info.

 

[meelman]

ja, je zou er een marketingtruc achter kunnen zien: eerst met een gratis firewall klanten binden en dan iedereen laten betalen omdat de gratsi versie lek is. Het is dat ik ZApro al heb, maar anders zou ik overstappen op een firewall van een andere maker.

 

[nteusink]

De aangepaste versie is er trouwens inmiddels.

New and improved features in ZoneAlarm version 3.7.202:

Added functionality to defeat so-called "shell exploit"

 

[nteusink]

Geplaatst door nteusink
De aangepaste versie is er trouwens inmiddels.

En ik zie geen enkel verschil qua beveiliging.... Het is nog steeds erg makkelijk om gewoon internet explorer aan te roepen via een apart programmatje en gegevens naar het internet te laten versturen... Ik vroeg me al af hoe ze dit zouden fixen....