emhanik
Advanced Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Accessisdenied 18:11 08-02-2015 Цитата: Вы можете придумать хоть один практический способ использования этого бага, чтобы это было хотя бы чуть более эффективно чем то что уже широко используется или применимо в каких-то случаях, когда остальное неприменимо? | Я уже привел конкретный пример: подмена файлов и каталогов ярлыками, запускающими вирус. Обычно Comodo успешно пресекает запуск, но стоит чуть модифицировать ярлыки... Блокировка запуска с внешних носителей — хорошее решение, но не безоговорочное. Кому-то нужно запускать оттуда программы, у кого-то (у многих!) отсутствует SRP, кто-то исключает ярлыки из контроля SRP, кто-то использует AppLocker... Наконец, вредоносные программы не только на внешних носителях бывают. Жертва может получить «письмо из налоговой», к которому будет прикреплен архив, содержащий вредоносную программу и ее стартер. Вообще-то я говорю о ярлыках, только потому что это простейший способ выполнить командную строку, на которой Comodo споткнется. Но ведь не единственный. Немного отойду от темы злоумышленников и напомню, что Comodo наделяет привилегиями инсталляторов ряд портативных браузеров и других программ. Значит, все, что пользователь скачает, станет доверенным. Все, что пользователь запустит прямо из браузера (а почему бы нет? Comodo же контролирует!) — выполнится с правами доверенного инсталлятора. Отойду от темы доверенных иснталляторов и вернусь к злоумышленникам. Криво реализованный анализ командной строки позволяет запустить программу так, что Comodo примет ее за любую другую и даст ей чужие права (в смысле и хипса, и фаервола). Это значит, что если Вы позволили программе запуститься — не факт, что сможете далее контролировать ее активность через Comodo. Добавим к этому, что и сам запуск может произойти бесконтрольно. Разнообразия ради — это можно провернуть не только через привилегии доверенного инсталлятора, но и через специфичную для CIS 8 уязвимость к подмене доверенного файла. Реализацию ярлыком я давал. XenoZ 18:38 08-02-2015 Цитата: Понятно. Уведомления о «блокировке» не было при обычном имени целевого файла. Оно появилось после того, как я дал ему имя инсталлятора и добавил аргумент в командную строку. Цитата: А у меня нет. CIS 7 на WinXP: http://youtu.be/k3pcQEG4sko CIS 8.1 на Win7x64: http://youtu.be/cG-B8TVbiqE Upd: Таки произошел... 20:02 08-02-2015 Цитата: Взять можно на оффоруме Комода, в разделе багов (нужна регистрация): | Вторую ссылку я бы заменил: https://forums.comodo.com/format-verified-issue-reports-cis/some-portable-internet-browsers-are-granted-as-trusted-installers-m1368-t107943.0.html Serjkov1ck 20:17 08-02-2015 Цитата: Есть смысл пробовать ваши образцы на других продуктаХ? | Нет. | Всего записей: 967 | Зарегистр. 18-12-2011 | Отправлено: 20:23 08-02-2015 | Исправлено: emhanik, 21:05 08-02-2015 |
|