聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士团队
Check Point 公司的热门杀毒软件和防火墙 ZoneAlarm 中被曝漏洞,可导致攻击者提升在运行该软件系统上的权限。Check Point 公司已发布更新解决该问题。
这个缺陷是 Illumant 公司在去年发现的。该公司表示漏洞存在的原因是开发人员使用微软WCF 框架的方式不当。由于 WCF 此前被称为“Indigo”,Illumant 公司将该漏洞命名为“OwnDigo”。
Illumant 公司的研究基于 Fabius Artrel 此前针对使用基于 .NET 的 WCF 服务的应用程序中的权限提升和代码执行漏洞的研究工作,以及 Matt Graeber 针对代码签名攻击的研究。
Illumant 公司指出,该漏洞导致具有对目标设备有限的访问权限的攻击者通过滥用易受攻击的 ZoneAlarm 服务以系统权限执行任意命令。这可被用于将低权限的用户账户加入管理员组。
然而,只有当攻击者的利用和 payload 文件是或看似是由 Check Point 签名时,才可执行攻击。为此,Ilumant 公司的研究人员创建了假冒 Check Point 的虚假嗲吗签名证书(具有限制权限的用户就可办到)并在目标系统上安装。该证书随后被用于签名利用和 payload 代码,从而导致权限提升。
Illumant 公司最新发布一篇博客文章,其中包含了关于该攻击的技术详情和视频。
Illumant 赞赏 Check Point 公司处理漏洞报告的方式。后者于去年10月份发布 ZoneAlarm Free Antivirus + Firewall 版本 15.4.062.17802 以修复该漏洞。
从 Check Point 公司发布的安全感谢页面来看,过去几年中,ZoneAlarm 中只发现少数几个问题。
虽然 Illumant 演示的是针对 ZoneAlarm 的攻击,但警告称这是一种新型漏洞,可影响使用 WCF 的任何 .NET 应用程序。该公司建议软件开发人员访问自己的 app 和 WCF 实现以确保不受漏洞影响。
推荐阅读
原文链接
https://www.securityweek.com/check-point-zonealarm-flaw-allows-privilege-escalation
本文由代码卫士编译,不代表其观点,转载请注明“转自代码卫士 www.codesafe.cn”。