Check Point’ning ZoneAlarm’i imtiyozlarning kuchayishi bilan bog‘liq zaiflikni yamayapti
Muammo ZoneAlarm’da jarayonlararo aloqaning xavfli amalga oshirilishidan kelib chiqadi.
Check Point’ning bepul ZoneAlarm xavfsizlik yechimi past imtiyozli foydalanuvchilarga eng yuqori imtiyozlar bilan kodni kiritish va bajarish imkonini beruvchi zaiflikni tuzatdi. Hujumchilar zaiflikdan hujumning ikkinchi bosqichida foydalanishlari mumkin va ekspluatatsiya qilish foydalanuvchilarning o’zaro ta’sirini talab qiladi. Muammo ZoneAlarm’da jarayonlararo aloqaning xavfli amalga oshirilishidan kelib chiqadi. Illumant xavfsizlik tadqiqotchisi Kris Anastasio Check Point mahsulotida Windows Communication Foundation (WCF) xizmatini fosh qilgan .NET ilovasini aniqladi. dotNetServiceHunter skripti va dnSpy vositasidan foydalanib, Anastasio ZoneAlarm’da tizim imtiyozlariga ega WCF xizmatini aniqladi, bu xizmat mahalliy hujumchi tomonidan imtiyozlarni oshirish uchun ishlatilishi mumkin.
Tadqiqotchining so’zlariga ko’ra, tajovuzkor WCF dan foydalanadigan SBACipollaSrvHost.exe fayli yordamida eng yuqori imtiyozlarga ega bo’lgan ixtiyoriy kodni bajarishi mumkin. SBACipolla klassini olgandan so’ng, Anastasio Cipolla va CipollaRoot (xizmat ko’rsatish nuqtalari tomonidan yaratilgan nomlangan quvurlar) hujumni mahalliy imtiyozlarning kuchayishi bilan cheklashini aniqladi.
Tadqiqotchi Check Point’ga zaiflik haqida xabar berdi va kompaniya uni ommaga oshkor qilishdan oldin tuzatdi.
