В ZoneAlarm от Check Point исправлена уязвимость повышения привилегий

В ZoneAlarm от Check Point исправлена уязвимость повышения привилегий

Причиной возникновения проблемы является небезопасная реализация межпроцессных взаимодействий в ZoneAlarm.

В бесплатном решении безопасности ZoneAlarm от Check Point исправлена уязвимость, позволявшая пользователям с низкими привилегиями на системе внедрять и выполнять код с наивысшими привилегиями. Злоумышленники могли использовать уязвимость на втором этапе атаки, а ее эксплуатация требовала участия пользователя. Причиной возникновения проблемы является небезопасная реализация межпроцессных взаимодействий в ZoneAlarm.

Эксперт компании Illumant Крис Анастасио (Chris Anastasio) обнаружил в продукте Check Point приложение .NET, раскрывающее сервис Windows Communication Foundation (WCF). С помощью скрипта dotNetServiceHunter и инструмента dnSpy Анастасио вывил в ZoneAlarm сервис WCF с привилегиями системы, который может использоваться локальным атакующим для повышения привилегий.

По словам исследователя, с помощью использующего WCF файла SBACipollaSrvHost.exe злоумышленник может выполнить произвольный код с наивысшими привилегиями. После получения класса SBACipolla class Анастасио обнаружил, что Cipolla и CipollaRoot (именованные каналы, создаваемые конечными точками сервиса) ограничивают атаку до локального повышения привилегий.

Исследователь сообщил Check Point об уязвимости, и компания исправила ее до публичного раскрытия.

Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!

Подписаться