防毒軟體反成駭客入口，研究人員揭露ZoneAlarm的權限擴張漏洞

專門從事滲透測試與安全評估的資安業者Illumant指出，Check Point旗下的防毒暨防火牆解決方案ZoneAlarm含有一權限擴張漏洞，將允許低權限的使用者取得系統等級權限，進而接管受害者系統。

根據Illumant的說明，此一漏洞源自於ZoneAlarm程式不安全地導入了以Windows Communication Foundation（WCF）所開發的.NET服務。WCF是一個用來建置服務導向應用程式的架構，也是ZoneAlarm所使用的行程間通訊（Inter-Process Communication，IPC）。

ZoneAlarm的作法將允許低權限使用者藉由含有漏洞的.NET服務挾持不安全的通訊服務，並注入與執行程式；由於受到影響的.NET服務是以系統權限運作，而讓注入的程式得以系統權限執行，繞過了權限的限制而允許駭客掌控系統。

簡單地說，ZoneAlarm程式中的SBACipollaSrvHost功能曝露了以系統權限執行的WCF服務，使得低權限的使用者能以系統權限執行任意程式。

Illumant指出，身為防毒軟體，ZoneAlarm應是用來保護電腦免受惡意程式的攻擊，此一漏洞顯示出這些通常以最高權限執行的防毒軟體反而造成了系統的安全風險，這對安全軟體產業來說是記警鐘，提醒他們應該要特別注意防毒軟體的安全性。

此外，Illumant安全分析師Chris Anastasio亦警告，不少.NET應用都使用了WCF，初步研究顯示還有許多導入方式也不安全，不排除有其它程式含有類似的漏洞。

Check Point去年便收到了Illumant的通知，已於去年10月釋出修補該漏洞的新版ZoneAlarm。