<span style='font-size:12pt;line-height:100%'>Denegación de servicio en ZoneAlarm 6.5 y anteriores</span>
SSDT (System Service Descriptor Table), es un servicio de tabla de descriptores utilizado por Windows para encaminar las llamadas del sistema hacia las APIs, el conjunto de rutinas que las aplicaciones utilizan para solicitar y efectuar servicios de nivel inferior.
ZoneAlarm utiliza numerosas funciones SSDT para reemplazar algúnos de los servicios internos del sistema en el modo kernel, y de ese modo comprobar los privilegios de llamadas a los procesos, antes de permitir el acceso al código de las funciones originales.
Una incorrecta validación de al menos dos de esas funciones (NtCreateKey y NtDeleteFile), puede permitir el uso de parámetros inválidos, ocasionando que el programa deje de responder. El elemento vulnerable es VSDATANT.SYS.
Aunque no se ha comprobado, la ejecución remota de código podría ser posible.
Una prueba de concepto está disponible en Internet.
Son afectadas las siguientes versiones del programa:
- ZoneAlarm Pro 6.5.737.000
- ZoneAlarm Pro 6.1.744.001
Versiones anteriores también podrían ser afectadas.
La solución es actualizarse a la versión 7.0.302.000 o superior (actualmente la 7.0.337.000 es la más reciente), que no es afectada por este problema.
Fuente
SSDT (System Service Descriptor Table), es un servicio de tabla de descriptores utilizado por Windows para encaminar las llamadas del sistema hacia las APIs, el conjunto de rutinas que las aplicaciones utilizan para solicitar y efectuar servicios de nivel inferior.
ZoneAlarm utiliza numerosas funciones SSDT para reemplazar algúnos de los servicios internos del sistema en el modo kernel, y de ese modo comprobar los privilegios de llamadas a los procesos, antes de permitir el acceso al código de las funciones originales.
Una incorrecta validación de al menos dos de esas funciones (NtCreateKey y NtDeleteFile), puede permitir el uso de parámetros inválidos, ocasionando que el programa deje de responder. El elemento vulnerable es VSDATANT.SYS.
Aunque no se ha comprobado, la ejecución remota de código podría ser posible.
Una prueba de concepto está disponible en Internet.
Son afectadas las siguientes versiones del programa:
- ZoneAlarm Pro 6.5.737.000
- ZoneAlarm Pro 6.1.744.001
Versiones anteriores también podrían ser afectadas.
La solución es actualizarse a la versión 7.0.302.000 o superior (actualmente la 7.0.337.000 es la más reciente), que no es afectada por este problema.
Fuente
Eso ya sera suficiente para que los piratas aprovechen la Vulnerabilidad. Parece peligrosa ya que es un Firewall muy utilizado. Por suerte la vulneravilidad no permite la ejecución de codigos maliciosos.