Salve a tutti, dopo una lunga ricerca ho trovato un firewall (Comodo) che sembra non dare problemi con Avira Free Antivirus. L’ho installato ieri, e ieri ho fatto un aggiornamento alla nuova versione appena rilasciata. Ho attivato l’HIPS in modalità Sicuro, attivando anche la protezione avanzata dei processi. Dopo essere andato a testare velocemente l’HIPS a livello di processi, tentando di terminare i processi o modificarne la memoria, ho potuto dire che i processi sono tutti al sicuro (tranne GeekBuddyRSP.exe e simili, che non influiscono sulla protezione). Tuttavia, appena sono andato nella cartella di COMODO (C:\Program Files\Comodo), mi sono accorto che mi lascia rinominare le cartelle interne, così come i file dentro le cartelle interne. Persino i driver di Comodo come cmdguard.sys presenti in C:\WINDOWS\system32\drivers sono tranquillamente modificabili e vulnerabili, semplicemente con l’elevazione UAC!
Sconvolto da tale notizia, ho aperto regedit.exe e ho incominciato a fare varie prove nella modifica delle chiavi e dei valori di Comodo nel Registro del Sistema. E, purtroppo, sono riusciti tutti, e non solo! Il programma non ha nemmeno ripristinato o tentato di ripristinare i valori, né ha dato segno di accorgersi di qualcosa. In poche parole, questo lo definirei bug nella sicurezza.
Andando nelle impostazioni dell’HIPS, tuttavia, la cartella di Comodo in Program Files e driver quali cmdagent.sys sono elencati nella lista degli Oggetti protetti.
Pur aggiungendo file e cartelle alla lista, a tali file e cartelle aggiunti non si direbbe sia successa alcuna cosa, né che siano protetti. Se per puro caso un’applicazione dovesse riuscire a risultare sicura, Comodo non disporrebbe di un’autodifesa valida per proteggersi ed evitare di farsi disattivare al primo riavvio del computer.
Dettagli tecnici:
Ho installato Avira Free Antivirus con i seguenti dettagli ottenibili nella scheda “Informazioni sulla versione” della finestra “Informazioni su Avira Free Antivirus”, raggiungibile con il clic destro nell’icona di Avira e scegliendo “Informazioni su Avira Free Antivirus” dal menu contestuale.
Programma | Versione | Data
Versione del prodotto 13.0.0.3640 18/04/2013
Motore di ricerca 8.02.12.66 19/06/2013
File di definizione dei virus 7.11.85.170 20/06/2013
Control Center 13.06.00.1194 19/06/2013
Config Center 13.06.00.1246 19/06/2013
Luke Filewalker 13.06.00.1262 19/06/2013
Real-Time Protection 13.06.00.778 19/06/2013
Filtro 13.05.01.10 19/06/2013
Web Protection 13.06.07.1236 19/06/2013
Pianificatore 13.06.00.778 19/06/2013
Updater 13.06.14.1262 19/06/2013
Rootkits Protection 13.05.01.05 19/06/2013
Local Decider 13.06.02.1262 19/06/2013
Ho installato Comodo Firewall (la versione gratuita) ieri e ieri stesso ha fatto l’aggiornamento per la nuova versione uscita proprio tra ieri e oggi se non ricordo male.
Le seguenti impostazioni di autoprotezione (o autodifesa) di Avira sono attivate:
• Proteggi i processi da una chiusura indesiderata;
• Protezione del processo avanzata;
• Proteggi i file e le voci di registrazione dalla manipolazione.
Inoltre anche l’opzione “Proteggi il file host di Windows da modifiche” è abilitata.
Purtroppo non ho fatto queste prove con la versione che ho installato ieri, cioè quella che ho avuto subito prima di effettuare l’aggiornamento, quindi non so dire se il problema persisteva anche allora oppure è dovuto alla nuova versione. D’altro canto mi pareva improbabile che c’è la sezione Oggetti protetti disponibile e che tale funzionalità sia disponibile sono nella versione a pagamento (altrimenti credo che non sarebbe disponibile dalle impostazioni avanzate), così ho pensato subito ad un bug, forse causato da qualche strano conflitto con Avira di cui Avira stesso pare non subire effetti negativi. Perciò chiedo di verificare se questo strano evento capiti solo a me o anche agli altri.
Esempi di chiavi di registro accessibili senza problemi:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\cmdagent
Relativa al servizio cmdagent.exe che si esegue come processo in utente NT AUTHORITY\SYSTEM.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\cmderd
Relativa al driver di tipo FILE_SYSTEM_DRIVER cmderd.sys in C:\WINDOWS\system32\drivers.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\cmdGuard
Relativa al driver di tipo FILE_SYSTEM_DRIVER cmdguard.sys in C:\WINDOWS\system32\drivers.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\cmdHlp
Relativa al driver di tipo KERNEL_DRIVER cmdhlp.sys in C:\WINDOWS\system32\drivers.
Cartelle accessibili senza problemi:
C:\Program Files\COMODO
C:\Program Files\COMDOO\COMODO Internet Security
C:\Program Files\COMODO\Dragon
File accessibili senza problemi:
C:\Program Files\COMODO\COMODO Internet Security*
C:\WINDOWS\system32\drivers\cmderd.sys
C:\WINDOWS\system32\drivers\cmdguard.sys
C:\WINDOWS\system32\drivers\cmdhlp.sys
C:\WINDOWS\system32\drivers\cmdide.sys
Sono accessibili anche i file dentro le cartelle presenti in C:\Program Files\COMODO\COMODO Internet Security
C:\Program Files\COMODO\Dragon* (e i file presenti nelle sottocartelle).
Molti file presenti in C:\Program Files\Comodo\GeekBuddy (gli altri se non sono modificabili è perché sono in uso) sono vulnerabili.
Un semplice file .BAT avviato con elevazione UAC (se l’UAC è disabilitato non è necessario neanche questo requisito) è sufficiente per rendere inutilizzabile al prossimo riavvio il programma.
Altre informazioni tecniche da aggiungere obbligatoriamente:
• Comodo Firewall Free 6.2.282872.2847
• Sistema operativo: Windows 7 SP1 32-bit
• Tipo di connessione a Internet (non credo che comunque in questo caso sia rilevante): ADSL
• Tipo di utente: Amministratore.
• Altri software attivi: Avira Free Antivirus (dettagli sopra), UAC al massimo livello.
• Eventuali applicazioni di sicurezza che sono state disinstallate/disabilitate prima di installare Comodo: Zone Alarm e Online Armor (ho provato entrambi i firewall ma entravano in conflitto con Avira e li ho rimossi).
• Eventuali applicazioni di sicurezza e non che sono state installate/disinstallate/disabilitate dopo aver installato un’applicazione Comodo: Nessuna (apparte Windows Firewall che forse era già disabilitato).
Pertanto vorrei sapere se la cosa succede solo a me o anche ad altri.
• Se serve uno screenshot, vi chiedo gentilmente di chiedermelo perché non so di cosa farlo.
Aspetto una risposta.
Riccardo