Los reportes sobre fallas de seguridad críticas en múltiples implementaciones siguen apareciendo. El más reciente se refiere a una vulnerabilidad en el servicio TrueVector Internet Monitor, instalado como parte del firewall ZoneAlarm de la firma Check Point. Acorde al experto en seguridad perimetral encargado del reporte, la explotación de esta falla permite a los actores de amenazas locales modificar los permisos en los archivos locales arbitrarios, accediendo a su contenido y obteniendo elevados privilegios en el sistema objetivo.
Después de recibir el reporte, la compañía comenzó el proceso de verificación de la falla, detectando que ésta reside en ZoneAlarm Free Firewall v15.8.023.18219/TrueVector Internet Monitor v15.8.7.18219.
Acorde al reporte de seguridad perimetral, el servicio comprometido se ejecuta como LocalSystem y crea una gran cantidad de archivos de respaldo de forma periódica en la carpeta %ProgramData%\CheckPoint\ZoneAlarm\Data\; al crear estos archivos, se establecen permisos en la configuración Control Completo para Usuarios Autenticados. Un actor de amenazas local podría crear un hardlink con el mismo nombre de los archivos de respaldo, generando la modificación en los permisos de otro archivo.
FUENTE: Securify
Después de modificar los permisos del archivo, los actores de amenazas pueden sobrescribir el contenido y, finalmente, obtener altos privilegios en el dispositivo vulnerable. Por si fuera poco, todo lo que los hackers requieren para la creación de un hardlink es una herramienta disponible en cualquier foro de hacking.
Para la corrección de esta falla, Check Point lanzó ZoneAlarm Free Firewall v15.8.043.18324, que contiene las actualizaciones necesarias para mitigar esta vulnerabilidad. El especialista en seguridad perimetral menciona que la última actualización de Windows 10 incluye mitigaciones para ataques vía hardlinks, por lo que ahora este sistema operativo requiere accesos de escritura en el archivo de destino. En caso contrario, el proceso de creación del hardlink no será completado. Requerir acceso de escritura en el archivo de destino también puede evitar este inconveniente.
Para obtener más información sobre fallas de seguridad, exploits, ataques cibernéticos y análisis de malware encontrados recientemente, puede visitar el sitio web oficial del Instituto Internacional de Seguridad Cibernética (IICS), así como los sitios oficiales de las compañías tecnológicas.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
