6 replies to this topic

[Txon]

« News » de présentation du sujet -> Drive-by-download

"Les attaques par « drive-by-download » sont maintenant très répandus et sont particulièrement nuisibles pour les utilisateurs car elles se servent massivement de dépassements de mémoire tampon pour injecter des logiciels malveillants dans leurs ordinateurs. Grâce à notre combinaison de solutions gratuites, l'utilisateur peut rester en sécurité en dépit de ces menaces fréquentes."

Comodo Memory Firewall (CMF) n'est pas un pare-feu tel qu'on l'entend habituellement. Il ne concurrence pas Comodo Firewall Pro (CFP), il le complète par la détection et la prévention des attaques par « buffer overflow » (dépassement de mémoire tampon).
Ce type d'attaque est caractérisé par l'injection dans la mémoire tampon (« buffer ») d'une application, de données de taille supérieure à ce qu'elle peut contenir afin d'imposer du code maléfique. C'est une des techniques utilisées pour installer une porte dérobée par laquelle un « black hat hacker » pourra accéder au PC infesté. Il peut alors devenir le maître de l'ordinateur et en faire ce qu'il désire : voler les informations sensibles de l'utilisateur, installer des programmes qui transforment la machine en un « PC zombie » etc.
Cette technique est communément utilisée par les « drive by download ».

"Drive-by Downloads" ... programme injecté automatiquement dans les ordinateurs des visiteurs d'un site web, sans leur consentement et sans qu'ils en aient conscience.

CFM est aussi bien destiné aux simples utilisateurs de PCs qu'aux administrateurs système. C'est un logiciel « DEP » (Data Execution Prevention) plus efficace et beaucoup plus souple que le dispositif intégré à Windows (Windows XP SP2, Windows Server 2003 SP1, Vista).
Note : Comodo Memory Firewall travaille déjà en tandem avec Comodo Firewall Pro qui peut le lancer. CMF sera vraisemblablement complètement intégré dans une prochaine version de CFP.


Dans le cadre de Comodo Memory Firewall, les utilisateurs pourront contrôler les attaques portant sur l'ensemble des « processus » dans le PC ou en choisir quelques uns. Ils s'appliqueront alors à protéger en priorité les applications les plus sensibles aux attaques de type « buffer overflow », navigateur en premier. ... Ils pourront étendre la surveillance à d'autres logiciels applicatifs et plus particulièrement tous ceux qui accèdent à Internet : courrier électronique, messagerie instantanée etc. Les spécialistes du système pourront aller au delà.

Notes

... Moins les applications ont été mises à jour, et plus elles contiennent des failles de sécurité non corrigées. CMF sera encore plus indispensable pour protéger les « vieilles » versions et en particulier celles d'Internet Explorer chez ceux qui tiennent absolument à les utiliser.
... CMF protège contre presque tous les risques de dépassement de tampon (environ 90%), qu'il soient le fait d'attaques par un « drive-by-download » ou d'autres types d'intrusion ou encore qu'ils soient dûs à un logiciel mal programmé.

Sujets abordés

• A - Quelques caractéristiques
• B - Installation
• C - Fonctions d'ordre général
• D - Modules de CMF ... Paramétrage des applications à protéger ... Alertes.
• E - Quelques explications supplémentaires, sans intérêt pour les plus débutants.

... / ...

[Txon]

... \ ...

[A] - Quelques caractéristiques

... a ... Contenu du répertoire d'installation.
Vous y voyez tous les éléments que vos défenses devront laisser fonctionner à un moment ou à un autre.

... b ... Modifications dans le Registre Windows vues par RegShot ...
Si vous voulez plus de détails, faites-le savoir.

...

... c ... Inspection par IceSword ...
Vous noterez, entre autres, la faible consommation en mémoire du processus « cmf.exe », la présence du driver « cmfd.sys » et de la clé du Registre (dans HKLM/Software/Microsoft/Windows...) qui sert au démarrage automatique de « cmf.exe » dès le lancement du système Windows.
Aucun crochetage n'est à signaler, ni dans la SSDT ni ailleurs.

... ...

... / ...

[Txon]

... \ ...

Version installée avec Windows XP SP2, sans Comodo Firewall Pro mais avec Avast! Antivirus, Spyware Terminator, IceSword, RkUnhooker, Firefox avec NoScript, OOo, Photofiltre, FreeCommander ...

Comodo Memory Firewall Version 2.0.4.20 du 25 janvier 2008.

pour Windows Vista (versions 32-bits et 64-bits),

Windows XP (versions 32-bits et 64-bits),

Windows Server 2003 SP1 (versions 32-bits et 64-bits).

(B) - Installation

Rien de très particulier à signaler, sauf que tout est en anglais. Pour ceux qui ne veulent rien comprendre à cette langue barbare, voici quelques indications en français et en suivant les fenêtres successives.

• Début de l'installation. Vos défenses en place peuvent vous signaler le démarrage d'un processus. Si c'est bien « CMF_Setup_2.0.4.20_XP_Vista_2k3_x32.exe » ou le nom que portera le fichier téléchargé sur le site officiel à ce moment là, acceptez.
• a ... Présentation de l'installateur. Cliquez sur [Next] (suivant).
  
• b ... Acceptation des termes de la licence. Faites coulisser la glissière située sur la droite jusqu'en bas puis cliquez sur [I accept] (j'accepte).
  
• c ... Choix du répertoire (dossier) d'installation. Si vous n'avez pas de préférence particulière, laissez le répertoire par défaut et cliquez sur [Next] (suivant). Notez au passage que la place nécessaire sur le disque n'est que de 9.9 Mo.
  
• Au cours de l'installation, vos défenses pourraient se manifester pour vous demander votre avis sur le processus et le service qui se lancent. Si ce sont « CMFCONFG.EXE », « cmfd.sys » et « CMF.EXE » (application enregistrée), acceptez.
• d ... Enregistrement « à vie ». Indiquez votre adresse email, si vous le désirez, pour recevoir des informations sur les nouveaux produits de Comodo. Cliquez sur [Next] (suivant).
  
• e ... Affichage d'une dernière fenêtre où il est signalé que l'ordinateur doit être redémarré pour que l'installation soit complète ([x] Restart the computer). Cliquez sur [Finish] (Terminer) pour que le PC redémarre.
  

Aucune incompatibilité à signaler avec les logiciels mentionnés plus haut.

... / ...

[Txon]

... \ ...

[C] - Fonctions d'ordre général

Peu de choses à dire tellement c'est lumineux, sauf pour les anglophobes bien entendu. Pour eux seulement ...
[1] SETTINGS ... Paramètres.

[X] Automatically start the application with Windows Démarrer automatiquement CFM à la mise en route de Windows. C'est bien entendu préférable. Cochez donc cette case si ce n'est pas déjà fait.
[X] Automatically check for the updates Recherche automatique de mises à jour de CMF. Se passe une fois par jour ou à chaque démarrage du logiciel. Ce n'est pas plus mal, alors, cochez cette case si ce n'est pas déjà fait.
[ ?] I am going to use e-mails alerts Utilisation d'alertes par e-mail. Très utile si vous avez la responsabilité de plusieurs ordinateurs ou si vous voulez savoir quels incidents ont pu arriver sur le votre quand vous laissez des doigts douteux tripoter le clavier et votre souris.
Cochez cette case si vous souhaitez être averti puis, dans la boîte de dialogue qui s'ouvre, renseignez l'adresse e-mail de destination des messages.

Cliquez sur [Apply] (appliquer) pour confirmer les paramètres choisis.


[2] UPDATE ... Mise à jour.
Utile uniquement si vous n'avez pas coché la case de recherche automatique de mises à jour (voir ci-dessus). Dans la fenêtre qui s'ouvre, cliquez sur [Start] pour une recherche sur le site de Comodo ou sur [Cancel] pour la fermer.

[3] HELP ... Aide.
Un fichier d'aide bien fait et complet, mais en anglais. Ne comptez pas sur moi pour le traduire intégralement. J'irai à l'essentiel.

[4] ABOUT ... Au sujet de ...
Affichage de la version utilisée.

... / ...

[Txon]

... \ ...

[D] - Modules de CMF

Comodo Memory Firewall comporte trois grands modules :

• Applications : ce module permet de gérer la liste des applications qui sont surveillées.
• Exclusions : ce module contient la liste des applications qui sont exclues de la surveillance.
• Logs : ce module liste toutes les attaques qui ont été enregistrées.

[1] Applications Configuration des applications surveillées.

... a ... La sélection par défaut est [All the other applications] (toutes les autres applications). Toutes les applications lancées seront contrôlées et ceci selon la norme standard [Ask the user] c'est à dire qu'en cas d'attaque, il sera demandé à l'utilisateur quoi faire au cas par cas, permettre ou tuer (voir en bas de page).

• Si vous êtes d'accord avec la norme standard et n'avez aucune préférence particulière, laissez la chose en l'état et sautez directement au chapitre suivant.
• Vous pouvez changer la norme standard en sélectionnant [All the other applications] puis en cliquant sur [Edit]. La fenêtre qui s'ouvre permet de changer les paramètres (voir ci-dessous).

... b ... Add Ajouter une règle (un paramétrage particulier) pour une application spécifique. Dans l'exemple ci-après, c'est le navigateur « Firefox » qui a été choisi. Cliquez sur [Add], une fenêtre s'ouvre.

• [Select] permet de sélectionner une application par l'un ou l'autre de deux moyens : [Browse] pour effectuer une recherche manuelle dans l'arborescence des répertoires, [Running Processes] pour afficher une liste de toutes les applications qui fonctionnent sur le PC. Dans les deux cas il faut sélectionner l'application désirée d'un simple « click ».
• [Do nothing] Ne rien faire. Correspond en fait à l'introduction de l'application dans la liste des « exclusions ».
• [Ask the user] Demander à l'utilisateur ce qu'il y a lieu de faire. En cas d'attaque celui-ci devra décider s'il doit [Allow] autoriser ou [Kill] stopper le processus incriminé.
• [Perform the following action(s)] Exécuter diverses opérations ...
  • [Terminate the application] Fermer l'application attaquée (solution par défaut quand aucune spécification particulière n'a été faite)
  • [Restart the application] Relancer l'application après la fermeture. La sélection de cette option permet d'activer l'option suivante (juste ci-dessous)
  • [Specify the following command-line options before restarting] Préciser des options de ligne de commande avant de redémarrer. Réservé à ceux qui ont des connaissances suffisantes en la matière.
  • [Execute the following command-line] Exécuter des lignes de commande. Réservé à ceux qui ont des connaissances suffisantes.
  • [Send an e-mail alert to the following recipient(s)] Envoyer un e-mail à un ou plusieurs destinataires (voir l'option [I am going to use e-mails alerts] du chapitre C-1).
    Cochez cette case puis cliquez sur le bouton jaune [New] pour indiquer une ou plusieurs adresse(s) e-mail particulière(s). A l'inverse, la croix rouge [Delete] permet de supprimer une des adresses préalablement indiquées.

...

Dans l'exemple ci-dessus, Firefox est simplement interrompu puis relancé après l'attaque. Il faudra bien sûr que l'utilisateur veille à l'effacement de toutes les traces (cookies etc.) de sa visite sur le site infecté et à ne pas y revenir (voir les « outils » de Firefox).

... c ... Remove Suppression d'une des applications de la liste des surveillés.
Sélectionnez l'application à supprimer puis cliquez sur [Remove]. Une fenêtre s'affiche avec le message [Are you sure you want to delete the specified entry?] (Etes-vous certain de vouloir supprimer cette entrée?). Le choix est en français.

... d ... Edit Modification des paramètres d'une des applications.
Sélectionnez l'application puis cliquez sur [Edit]. La fenêtre qui s'ouvre est la même que celle décrite pour la fonction [ADD] ci-dessus.


[2] Exclusions
Les applications spécifiées ici ne seront plus surveillées. En standard, il n'y en a pas et on se demande pourquoi il devrait y en avoir. Vous pouvez cependant insérer ici une application dont vous êtes absolument certain et qui n'a rien à voir avec Internet.
Le procédé est tout à fait comparable à celui de [Applications] ci dessus, tout au moins pour ce qui est des techniques de sélection de l'application tant pour l'ajouter que pour la supprimer. Il n'y a aucun paramètre à préciser.


[3] Logs Liste des attaques.
Tableau dont les colones sont :

• [Application Path-] indique le chemin d'accès de l'application ou du processus qui a provoqué l'évènement.
• [Action Taken-] indique quelle a été la réaction du pare-feu.
• [ Attack Type-] indique le type d'attaque.
• [Attack Address-] indique à quelle adresse de la mémoire à eu lieu l'attaque.
• [Memory Type-] indique le type de mémoire attaqué (stack, heap)
• [Date/Time -] indique la date et l'heure de l'attaque.

Pour enlever un ligne de la liste, sélectionnez-la puis faites un « click droit » puis cliquez sur [Clear Log].

[Ask the user] ... Alerte ...
Le message d'alerte indique le chemin d'accès complet de l'application ainsi que le nom de l'éditeur et la version (s'ils sont connus).

Deux possibilités pour l'utilisateur : [Allow] autoriser et [Kill] tuer.
Si vous choisissez [Allow] il y aura un « buffer overflow ». Si vous choisissez [Kill] l'application sera fermée.
Avant de prendre votre décision, vous pouvez cocher une des options.
... [Remenber my answer] Se rappeler la réponse donnée. Cochez cette case si vous désirez que la même action soit automatiquement exécutée en cas de nouvelle attaque sans nouvel affichage du message d'alerte. La règle correspondante est automatiquement créée.
... [Add to exclusion list] Provoque l'insertion automatique de l'application dans la liste des exclusions. Cette option va de pair avec la décision d'autoriser [Allow].

... / ...

[Txon]

... \ ...

Windows ...
1. Software DEP is nothing but SEH chain validator (means it's not a DEP but some way to prevent one rare type of shellcode's injection)
2. Hardware DEP is very incompatible thing, that's why:
 a) DEP mode by default is OptIn = all system services are protected, user apps aren't protected
 b) DEP is _VERY_ incompatible thing so we 've got one more "layer" over DEP-mode - windows disables DEP for app which is know to be incompatible with DEP (this includes many checks, like exe-packers check and so on)
3. DEP-protection is vulnerable to ret2libc kind of attack (so you're not protected at all)

Comodo Memory Firewall détecte les types d'attaques suivants :

• Dépassement de mémoire tampon dans la mémoire « stack » (pile)
• Dépassement de mémoire tampon dans la mémoire « heap » (tas)
• Attaques « retlibc »
• Séquences « SEH » mauvaises ou corrompues.

Quelques explications sans intérêt pour les plus débutants. ...

"Buffer overflow" : Dépassement de mémoire tampon. Se produit lorsqu'une zone mémoire temporaire (mémoire tampon) utilisée par une application (navigateur, messagerie ...) reçoit plus de données qu'elle ne peut en contenir. Cette technique qui, généralement, provoque un dysfonctionnement de l'application, permet à un programme malicieux ou un "script" intrusif d'injecter son "code" dans la mémoire tampon. Ce type d'attaque est communément utilisée par les « drive by download ». L'avantage de ce système est qu'il ne requiert pas d'accès au système ou seulement avec des droits restreints.

Les attaques de type « buffer overflow » comportent plusieurs variétés dont celles sur la « stack memory », la « heap memory » et sur le « ret2libc » (return-to-libc).

"Stack Memory" : « Pile » . Zone mémoire utilisée pour stocker des données temporaires, utilisée entre autres par le langage « Java » (scripts). Elle peut servir aux attaques de type « buffer overflow ».

"Heap Memory" : « Tas ». Plage de mémoire interne créé au moment du démarrage que les applications utilisent selon les besoins pour allouer de la mémoire dynamiquement, surtout celles qui ont un grand besoin de "stack memory" . Elle peut servir aux attaques de type « buffer overflow ».

-> Présentation des stack et heap overflow (lexfo.fr - format .pdf)
-> Understanding and Bypassing Windows Heap Protection (Nicolas Waisman - format .pdf)

"ret2libc" : Une attaque "return-to-libc" commence en général par un dépassement de tampon ("buffer overflow"), dans laquelle l'adresse de retour sur la "pile" ("memory stack") est remplacée dans le programme applicatif attaqué par l'adresse d'une autre fonction. Ceci permet aux malveillants d'appeler des fonctions pré-existantes sans avoir besoin d'injecter du "code" malicieux dans le logiciel attaqué. Cette attaque fait partie des plus difficiles à détecter et donc à contrer.

"Structured Exception Handling" (SEH). Implantation d'exceptions dans la noyau de Windows.
Une exception est un événement durant le fonctionnement d'un programme qui requiert l'exécution de "code extérieur". Il existe deux types d'exceptions : matérielles, provoquées par le processeur, et logicielles, provoquées par le système (par exemple quand il détecte un paramètre invalide) ou par des applications.
« Structured exception handling » est un mécanisme pour manipuler les exceptions et en avoir le contrôle. Il est utilisé par les "debuggers" aussi bien que par certains codes malveillants (violations d'accès ...)

-> Gestion des erreurs et des exceptions (Czayfaboo)

"Script" Ensemble de commandes écrites dans un langage interprété, regroupées dans un fichier, pour automatiser certaines tâches ou encore « lignes de "codes" servant, entre autre, à dynamiser une application Internet » (aisneco). L'utilisation des mots « procédure » ou « scénario » est possible. Les scripts peuvent être écrits en différents langages : Java, ASP, PHP ... Certains scripts, souvent écrits en langage Java, sont malicieux.

-> How do buffer overflow attacks work? (NFS Grant Security)

-> Lexique du Windows furtif

Pour nous faire part de vos commentaires (critiques, corrections d'erreurs, demande de renseignements complémentaires ... ) veuillez vous rendre ...
-> ICI <-

[Txon]

...

Comodo Memory Firewall est intégré dans Comodo Firewall "Pro" (CFP) depuis sa version 3.8.64263.468 : 12th Feb, 2009

Version 3.8.64263.468 : 12th Feb, 2009

• NEW! COMODO Threatcast - COMODO's community based alerts statistics
• NEW! Native Vista Firewall - Improved Firewall with Windows Vista enhancements
• NEW! Native Vista HIPS - Improved HIPS compatible with Windows Vista enhancements
• NEW! Buffer Overflow Prevention - Defense+ can now detect and prevent one of the most common attacks used by attackers: shellcode injection
• NEW! Antivirus Heuristics: The Antivirus engine now includes heuristics scanning capabilities
• NEW! Proxy server settings for AV and program updates
• IMPROVED! Trusted software vendor list is expanded, capable of detecting thousands of applications generically without any signatures
• IMPROVED! Revised AV engine - AV engine scanning and updating speed increased significantly
• IMPROVED! File submission engine has been redesigned

Il n'est donc plus nécessaire pour ceux qui utilisent CFP ou CIS (Comodo Internet Security). Il reste cependant valable pour ceux qui s'entêtent à utiliser des firewalls peu performants, celui de Windows bien entendu et aussi Zone Alarm, Kaspersky, Symantec(ex-Norton), McAfee etc.

@+