• Tweet

Código malicioso enmascarado como una aplicación confiable podría afectar al firewall ZoneAlarm al dejarlo conectar a Internet, advierten expertos en seguridad

Este problema afecta al firewall ZoneAlarm gratuito e instalaciones predeterminadas de la versión 5.5 y anteriores del producto comercial de Zone Labs de acuerdo con un boletín de seguridad el jueves pasado. Instalaciones predeterminadas de Check Point Integrity Client son también afectadas, pero los productos comerciales de ZoneAlarm 6.0, liberados en julio, no son afectados, de acuerdo con ZoneLabs.

“Si es explotado satisfactoriamente, un programa malicioso podría se capaz de acceder a la red a través de un programa confiable”, de acuerdo con el boletín de seguridad de ZoneLabs, que es parte de Check Point Software. Si el programa malicioso intenta una conexión directa a Internet, podría ser bloqueado por el firewall.

Un ejemplo de esta técnica fue publicado a inicios de la semana pasada por el investigador de seguridad Debasis Mohanty. El método utiliza un mecanismo de Windows para enlazar aplicaciones, de acuerdo a Mohany, quien también dijo que el problema podría existir en otros productos de firewall.

Un atacante podría engañar al firewall al vincular un keylogger u otro programa malicioso a otra aplicación – Internet Explorer por ejemplo. Cuando el keylogger envíe los datos capturados, el firewall podría ver IE, pero no al spyware, accediendo a Internet y permitiendo la conexión.

Sin embargo, ZoneLabs no ha visto ningún software malicioso que actualmente utilice este truco, de acuerdo con John LaCour, director de servicios de seguridad del creador de software, “Éste es un ataque teórico que no hemos visto utilizar en el mundo real”. ZoneLabs clasifica este boletín como “bajo riesgo”.

Zone Labs no planea actualmente actualizar el producto de firewall libre para proteger contra este problema, dijo la compañía. Los productos pagados ofrecen protección contra el problema porque tienen una tecnología adicional, llamada un firewall de sistema operativo, que no es parte del firewall de red libre, dijo LaCour.

“El firewall de red esta haciendo su trabajo. El aviso involucra la interacción de diferentes aplicaciones y esta no es una función de un firewall de red; esta es una función de un firewall de OS”, dijo LaCour. “Si un usuario quiere tener un alto nivel de protección, entonces nosotros tenemos un producto disponible para hacer esto”

Usuarios de ZoneAlarm 5.5 y de las versiones 6.0 y 5.5 de checkPoint Integrity Client pueden protegerse habilitando la característica  “Control de Programa Avanzado” de acuerdo con Zone Labs.