emhanik
Advanced Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
1. Есть кривая реализация анализа командной строки.
Суть этого анализа: если запускается интерпретатор с аргументами командной строки, то к его процессу применяются те права и запреты, которые имеет файл, указанный в аргументах командной строки.
1a. Один из багов состоит в том, что за интерпретатор принимается любой файл, имеющий имя msiexec, hh, wscript и т.д. Следовательно, вредоносный файл с таким именем может получить привилегии любого, указанного в командной строке.
1б. Другой баг состоит в том, что принимается во внимание только файл, указанный в первой команде. Если командная строка составная, то, с точки зрения Comodo, последующие команды выполняются якобы от имени этого первого файла. Следовательно, если последующие команды — это запуск программ, то эти программы будут считаться дочерними процессами программы, указанной в первой команде. Следовательно (см. п. 2), если в первой команде указать доверенный инсталлятор (который даже сам ничего не делает), то последующие команды беспрепятственно (в дефолтной конфигурации) запустят неопознанные программы.
2. Есть нормальный порядок обработки доверенных инсталляторов. Упрощенно говоря, привилегии доверенных инсталляторов следующие:
- программы, которые они запускают, временно выполняются как доверенные, даже будучи неопознанными
(это поведение задается опцией Auto-Sandbox «Обнаруживать программы, требующие повышенных привилегий», но см. п. 3);
- программы, которые они создают, заносятся в список доверенных
(это поведение задается опцией «Доверять приложениям, установленным с помощью доверенных инсталляторов»).
3. Обнаружилось, что если одновременно использовать приемы 1а и 1б, то даже при отключенной опции «Обнаруживать программы, требующие повышенных привилегий» происходит запуск неопознанной программы. Проблема решается блокировкой запуска программ, имеющих имена интерпретаторов, но иное местоположение.
Цитата:| а как должны действовать и назначаться упомянутые привилегии - я в курсе |
Либо мы друг друга не слышим, либо все же не в курсе. Потому как постоянно смешиваешь временный запуск без ограничений и добавление в доверенные:
14:44 10-02-2015
Цитата:| Файл в данном примере не создается, а запускается, следовательно - должен определяться, как неопознанный, обрабатываться, как неопознанный, и никоим образом не должен запускаться с правами доверенного. |
А если бы создавался? Все равно это баг анализа командной строки, и никакого беспрепятственного запуска или занесения в доверенные не должно быть.
Если же не считать, что привилегии доверенного инсталлятора были даны процессу cmd.exe ошибочно — то в остальном поведение было корректным, включая запуск неопознанного файла test.exe |
Всего записей: 967 | Зарегистр. 18-12-2011 | Отправлено: 16:15 10-02-2015 | Исправлено: emhanik, 18:30 10-02-2015 |
|
