» Comodo Internet Security
egemen'у написал
Кстати, если объединить 2 бага в 1, то получается универсальная "бомба": возможность запуска произвольного файла с правами "Доверенный/установщик" (с точки зрения Комода) и имеющего свободный выход в сеть.
Цитата:
Кстати, если объединить 2 бага в 1, то получается универсальная "бомба": возможность запуска произвольного файла с правами "Доверенный/установщик" (с точки зрения Комода) и имеющего свободный выход в сеть.
Дык я о чем:
emhanik 19:15 12-01-2015
Цитата:
Посредством ярлыка или другого стартера — не только запустится, но и выйдет в интернет, и в данных нагадит.
Даже если запретить запуск файлов, имеющих имена интерпретаторов, но иные пути, «бомба» сможет запустить отдельный свой компонент виртуально, и тот в сеть выйдет (виртуальная подмена интерпретатора по его правильному пути делается беспрепятственно).
Но намеренный запуск в виртуальной среде Comodo еще можно запретить.
А вот интересно, как будет, если вредоносная программа создает собственную виртуальную среду? Я немного поэкспериментировал с портативными сборками, созданными VMware и Cameyo. Оказалось, что для программ, запущенных в песочнице VMware, анализ командной строки вообще не работает, поэтому не прокатывают и его уязвимости. А при распаковке и запуске программы в Cameyo контролируется-таки ее реальное расположение, а не виртуальное. Т.е. обойти приведенную блокировку сторонней виртуализацией пока не удалось, но я и пробовал всего ничего.
Добавлено:
Цитата:
для программ, запущенных в песочнице VMware, анализ командной строки вообще не работает
Перепроверил — все же работает, хотя с какими-то странностями. Но, как и в случае Cameyo, при попытке запустить программу, виртуально расположенную на месте интерпретатора, Comodo блокировал запуск и в журнале появилась запись с реальным местоположением этой программы.
Внезапно обнаружил забавную вещь: если в виртуальной среде VMware выполнить копирование исполняемого файла, то становятся видны альтернативные потоки данных, которые создает Comodo. Т.е. рядом с файлом «java.exe» появляется файл «java.exe:$CmdTcID», который можно просмотреть.
Можете помочь?
На днях заметил графический глюк.
Висит на экране типо окошко от комодо центра извещений, но совсем мелкое и обрезанное. Никак не убрать. Можно только мышкой двигать.
Скрин здесь ---> http://s020.radikal.ru/i701/1501/06/f7130e4590dc.jpg
На вкладке «Интерфейс» отключите «извещения от центра сообщений Comodo» и перезагрузитесь.
Почти уверен, нужно задать права на ветки реестра. Всречал такое не раз, по другим делам.
http://www.windxp.com.ru/articles90.htm
http://www.oszone.net/7836/
У меня ХР (но не в этом суть).Описанными в статье средствами я могу изменить и удалить что угодно,но только не ветку HKEY_LOCAL_MACHINE/SYSTEM/Software/COMODO.Даже если я владелец со всеми правами,то при удалении (и даже при изменении имени) выдает ошибку.Комод как будто врос в систему)
Уже не раз писалось, что Комод корректно удаляется штатным методом. Использование всевозможных сторонних утилит зачастую приводит к различным глюкам.
Возможно, ветку реестра "держит" оставшийся в системе драйвер.
Цитата:
Доброго времени всем.На ХР стоял Comodo Firewall - 5.10.Чистый.Снес его и все,что с ним связано Revo Uninst. Но фокус в том,что ключи реестра НИКАК не удаляются.Пробовал и вручную и спец.программами - бесполезно.Потом стало еще забавней - снова его установить не получается (не работает агент),поэтому я вообще решил от фаера отказаться.Но как удалить ключи? Заранее благодарен.
по пробуй Comodo Uninstaller Tool:
forums.comodo.com/install-setup-configuration-faq-cis-b141.0/-t71897.0.html
Спасибо за внимание к моей персоне.По ссылкам shadow_member я наткнулся на способ удаления скрытых и незадействованных драйверов на ХР и снес драйвера CIS...там еще epfw какие-то есть,но они не удаляются(система уходит в вечные раздумья)...попробую
Comodo Uninstaller Tool.
UPD - Не вышло.Я уж думаю - а не поставить ли мне CIS-5...типа так и было)
Для начала разберись как следует в своей системе: epfw.sys - это драйвер ESET.
Т.е программа для интернет-банка и Comodo
Если этого достаточно, то разрешить только порты 80 и 443 и запретить все остальные и включить логирование. По результатам смотреть в логах и уточнять правила, лучше всего, с точностью до единого IP или диапазона IP.
Это в правилах для Firefox.
Можно попробовать то же самое сделать в глобальных правилах, это будет для всей системы.
COMODO Browser роли не играет и не нужен.
Цитата:
техподдержка сказала, что еще нужны 90 и 91 порты, не могу понять, что это за порты? Находятся в диапазоне официально назначенных.Наверное, не 90 и 91, а 9091?
Цитата:
Для работы системы требуется установленная Java и должны быть открыты следующие порты: 443 и 9091.
Не можешь понять - не мучай мозг, у каждой конторы свои тараканы. Нужны порты для работы - открывай.
Подскажите пожалуйста какая версия фаервола была еще фаерволом, а не бенчмарком по нагрузке проца ?
Выпускают, как и прежде. Дистрибутив общий, и называется он "CIS", в него входит антивирус и фаервол, при установке можно выбрать, что устанавливать. Фаервол неотъемлемо имеет песочницу и хипс, но их можно не включать.
Последняя приличная версия- 5.10 (5.12- поддержка Win8, но не Win81).
Добавлено:
Последняя, какая выпускалась не в составе CIS, наверное, v4.
Цитата:
Очень нравится фаерволл, и жутко не нравится дырявый антивирус. Скажите, просто фаревола уже не выпускают без этих довесков в лице песочниц, хипсов, вирускопов и прочей хрени?
Как уже сказано выше, при установке есть выбор, какие компоненты ставить. Одно но: при отключенном HIPS пропадает контроль целостности приложений.
И главное на сегодня но: в Комоде обнаружена уязвимость, к-рая позволяет выполнить произвольный код с правами доверенного инсталлятора, т.е., в обход всех уровней защиты Комода, что практически ставит на нем крест. Данная уязвимость актуальна для версий 5-6-7-8, более ранние не проверялись.
Цитата:
Последняя, какая выпускалась не в составе CIS, наверное, v4
Последний "чистый" фаервол, если не изменяет память, - 3.0. CIS был анонсирован с версии 3.8. (заинтересованные могут полистать топик, ссылки на старые ветки - в шапке)
Добавил в шапку информацию о "дыре" в Комодо.
Я разобрался в своей системе(насколько смог),поэтому в дополнение к Eset Endpoint и поставил CF - 5.10 и теперь вот вычистить не могу...ну да ладно,спасибо за помощь.
P.S - о дровах я всё давно прогуглил,просто поспешил написать.
P.P.S - лично я для себя вопрос с фаерволом решил - он мне не нужен,ибо я паранойей не страдаю и особой надобности в нём не вижу.
shadow_member,последний чистый был 5.10,его я и нашел на трекере.
Цитата:
в Комоде обнаружена уязвимость, к-рая позволяет выполнить произвольный код с правами доверенного инсталлятора, т.е., в обход всех уровней защиты Комода, что практически ставит на нем крест. Данная уязвимость актуальна для версий 5-6-7-8, более ранние не проверялись.
CIS 5.12. Если выставить "обрабатывать неопознанные как Заблокированные", то пробить невозможно. Максимум, что при запуске ярлыка "add to trusted and run" создается в этой же папке файл "test2.exe", но толку от этого никакого.
CIS 7 - это конечно дырка, данный метод не спасает.
Пожалуйста, уточните ОС и скиньте конфигурацию.
Причины могут быть разными:
- в системе отсутствовал на ожидаемом месте файл tcmsetup, или этот файл не опознался как инсталлятор (тогда вместо него можно было любой другой инсталлятор взять);
- был отключен анализ командной строки;
- была отключена опция «Автоматически доверять программам из доверенных установщиков»;
- ..?
Перепроверил CIS 5.10 в WinXP (VMware)
Запуск ярлыком «run.lnk», действительно, заблокировался.
Но после запуска ярлыка «add to trusted and run.lnk» файл «test2.exe» стал доверенным и запустился
Конфигурация Proactive Security + блокировка неопознанных: http://rghost.ru/8tYMjBtnr
Добавлено:
Мой вывод. Версия 5.10 частично устояла к уязвимости не благодаря лучшей якобы защите, а из-за наличия в ней другого бага. Конкретно: в ней опция автопесочницы по обнаружению инсталляторов («Не запускать в Sandbox приложения для установки») не работает, когда автопесочница установлена в режим блокировки.
В более новых версиях того же эффекта можно добиться отключением опции «Обнаруживать программы, требующие повышенных привилегий». О чем, в общем-то, я многократно и писал.
Дополнительно нужно отключить доверие программам, созданным доверенными инсталляторами (писал там же).
Проверил 5.12 — повторилась ситуация с 5.10
Цитата:
- в системе отсутствовал на ожидаемом месте файл tcmsetup, или этот файл не опознался как инсталлятор (тогда вместо него можно было любой другой инсталлятор взять);
На месте: C:\WINDOWS\system32\tcmsetup.exe
Цитата:
- был отключен анализ командной строки;
Включен
Цитата:
- была отключена опция «Автоматически доверять программам из доверенных установщиков»;
Это да - отключено, и без разговоров...
Цитата:
Перепроверил CIS 5.10 в WinXP (VMware)
Запуск ярлыком «run.lnk», действительно, заблокировался.
Но после запуска ярлыка «add to trusted and run.lnk» файл «test2.exe» стал доверенным и запустился
Ничего доверенным не стало, и не запустилось.
Цитата:
Мой вывод. Версия 5.10 частично устояла к уязвимости не благодаря лучшей якобы защите, а из-за наличия в ней другого бага. Конкретно: в ней опция автопесочницы по обнаружению инсталляторов («Не запускать в Sandbox приложения для установки») не работает, когда автопесочница установлена в режим блокировки.
Баг, не баг, но CIS 5 удар держит, в отличии от дерьма под названием CIS 6,7,8.
Цитата:
Пожалуйста, уточните ОС и скиньте конфигурацию.
Win XP x86, Win 7 x64. Конфигурацию скидывать не буду, т.к. там много всяко-разного.
Цитата:
Цитата:
- была отключена опция «Автоматически доверять программам из доверенных установщиков»;
Это да - отключено, и без разговоров...
С этого надо было и начинать.
Цитата:
Баг, не баг, но CIS 5 удар держит, в отличии от дерьма под названием CIS 6,7,8.
Повторяю: тот же эффект в версиях 6-7-8 дает отключение опции «Обнаруживать программы, требующие повышенных привилегий». А в 5-ке эта опция попросту не работает, когда автопесочница в блокировке.
Цитата:
Конфигурацию скидывать не буду, т.к. там много всяко-разного.
Ok, и так уже все понятно.
Цитата:
- была отключена опция «Автоматически доверять программам из доверенных установщиков»;
Это да - отключено, и без разговоров...
С этого надо было и начинать.
Никто вам не мешает настраивать продукт по своему желанию и вкусу. Он это позволяет.
Цитата:
А в 5-ке эта опция попросту не работает, когда автопесочница в блокировке.
Если файл является заблокированным - значит он заблокирован на выполнение.
Хоть в песке, хоть без песка. При чем тут вообще автопесочница, если файл блокирован?
И в чем баг?
Один сплошной баг - это CIS 6-8.
Цитата:
С этого надо было и начинать.
Никто вам не мешает настраивать продукт по своему желанию и вкусу. Он это позволяет.
Спасибопоржал
За логикой-то беседы следите:
- Вы заявляете, что в определенной конфигурации 5-ка не имеет уязвимости. При этом не сообщаете о ключевой детали этой конфигурации.
- Я проверяю, делаю вывод и объясняю вам суть дела. При этом выспрашиваю подробности (которые следовало сказать сразу).
- Вы сообщаете детали.
- Я подвожу итог.
- Вы пытаетесь меня поучать. — Что это было???
Цитата:
При чем тут вообще автопесочница, если файл блокирован?
При том, что данная блокировка — это один из режимов работы компонента, который отвечает за автоматическую изоляцию в песочнице.
Впрочем, в 5-ке опция «Не запускать в Sandbox приложения для установки» вынесена на вкладку настройки собственно Sandbox. Поэтому как бы она и не должна влиять на режим блокировки. С такой точки зрения это не баг. Согласен.
Однако в дальнейших версиях данный вид блокировки стали откровенно называть одним из режимов Auto-Sandbox. Путь формально блокировка — это не песочница, но данный режим стал подчиняться тем же параметрам, что и Auto-Sandbox в целом.
Если отмечена опция, согласно которой доверенные инсталляторы неподконтрольны Auto-Sandbox — значит, они не должны контролироваться ни в каком режиме, и их дочерние процессы не должны ни изолироваться, ни блокироваться.
Разумеется, в связи с уязвимостями эту опцию лучше отключать, как и опцию «Доверять приложениям, созданным доверенными инсталляторами». И только при отключении данных двух опций неопознанные программы должны всегда блокироваться (или изолироваться, в зависимости от выбора режима).
Цитата:
И в чем баг?
Ok, это не баг. Как не является багом и поведение последующих версий.
И 5-ка, и 7-ка ведут себя согласно интерфейсу настройки, а он у них разный.
Цитата:
Один сплошной баг - это CIS 6-8
Во многом такой же «сплошной баг», как и 5-ка (хотя мне-то известно несколько уязвимостей, появившихся именно в новых версиях).
Однако, чтобы утверждать подобное — сначала отключите в CIS 6-7-8 опции «Обнаруживать программы, требующие повышенных привилегий» и «Доверять приложениям, установленным с помощью доверенных иснталляторов», включите Auto-Sandox в режиме блокировки и найдите, чем такая конфигурация хуже 5-ки.
Вы используете 5-ку именно в таком режиме.
Цитата:
Спасибопоржал
На здоровье...
Цитата:
За логикой-то беседы следите:
- Вы заявляете, что в определенной конфигурации 5-ка не имеет уязвимости. При этом не сообщаете о ключевой детали этой конфигурации.
- Я проверяю, делаю вывод и объясняю вам суть дела. При этом выспрашиваю подробности (которые следовало сказать сразу).
- Вы сообщаете детали.
- Я подвожу итог.
- Вы пытаетесь меня поучать. — Что это было???
Пожалуйста, сбавьте обороты вашего назидательного тона...
Вы везде стонете: "Шеф, все пропало, спасения - нет".
Я же говорю, что не все пропало. Только и всего.
Цитата:
При том, что данная блокировка — это один из режимов работы компонента, который отвечает за автоматическую изоляцию в песочнице.
Зачем Комоду помещать заблокированный объект еще и в песочницу? Где логика? Чтобы он еще сильнее "заблокировался"? Данному приложению просто отказано в запуске.
Цитата:
Однако в дальнейших версиях данный вид блокировки стали откровенно называть одним из режимов Auto-Sandbox. Путь формально блокировка — это не песочница, но данный режим стал подчиняться тем же параметрам, что и Auto-Sandbox в целом.
Вы что оправдываетесь передо мной за последующие корявые версии?
Так это обязанность разработчиков. Какие к вам претензии?
Цитата:
Ok, это не баг. Как не является багом и поведение последующих версий.
Пользуйтесь ими, если там все хорошо, а я пока перетопчусь на CIS 5.
Цитата:
Однако, чтобы утверждать подобное — сначала отключите в CIS 6-7-8 опции «Обнаруживать программы, требующие повышенных привилегий» и «Доверять приложениям, установленным с помощью доверенных иснталляторов», включите Auto-Sandox в режиме блокировки и найдите, чем такая конфигурация хуже 5-ки.
Увольте меня от этих "тошнотных" версий.
Надеюсь вам не надо напоминать о багах новых версий, которые наслаиваются как пирог?
Одни "неопознанные" файлы чего стоят + возможность подмены доверенных файлов всякой дрянью.
Да, еще есть шизоидный "контент-фильтр", и "тыкающий пальцем в небо" Viruscope.
Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165166167168169170171172173174175176177178179180181182183184185186187188189190191192193194195196197198199200201202203204205206207208209210211212213214215216217218219220221222223224225226227228229230231232233234235236237238239240241242243244245246247248249250251252253254255256257258259260261262263264265266267268269270271272273274275276277278279280281282283284285286287288289290291292293294295296297298299300301302303304305306307308309310311312313314315316317318319320321322323324325326327328329330331332333334335336337338339340341342343344345346347348349350351352353354355356357358359360361362363364365366367368369370371372373374375376377378379380381382383384385386387388389390391392393394395396397398399400401402403404405406407408409410411412413414415416417418419420421422423424425426427428429430431432433434435436437438439440441442443444445446447448449450451452453454455456457458
Предыдущая тема: Victoria | Виктория | HDD Diagnostic (часть 2)
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.