HIPS non protegge i file

Salve a tutti, dopo una lunga ricerca ho trovato un firewall (Comodo) che sembra non dare problemi con Avira Free Antivirus. L’ho installato ieri, e ieri ho fatto un aggiornamento alla nuova versione appena rilasciata. Ho attivato l’HIPS in modalità Sicuro, attivando anche la protezione avanzata dei processi. Dopo essere andato a testare velocemente l’HIPS a livello di processi, tentando di terminare i processi o modificarne la memoria, ho potuto dire che i processi sono tutti al sicuro (tranne GeekBuddyRSP.exe e simili, che non influiscono sulla protezione). Tuttavia, appena sono andato nella cartella di COMODO (C:\Program Files\Comodo), mi sono accorto che mi lascia rinominare le cartelle interne, così come i file dentro le cartelle interne. Persino i driver di Comodo come cmdguard.sys presenti in C:\WINDOWS\system32\drivers sono tranquillamente modificabili e vulnerabili, semplicemente con l’elevazione UAC!
Sconvolto da tale notizia, ho aperto regedit.exe e ho incominciato a fare varie prove nella modifica delle chiavi e dei valori di Comodo nel Registro del Sistema. E, purtroppo, sono riusciti tutti, e non solo! Il programma non ha nemmeno ripristinato o tentato di ripristinare i valori, né ha dato segno di accorgersi di qualcosa. In poche parole, questo lo definirei bug nella sicurezza.
Andando nelle impostazioni dell’HIPS, tuttavia, la cartella di Comodo in Program Files e driver quali cmdagent.sys sono elencati nella lista degli Oggetti protetti.
Pur aggiungendo file e cartelle alla lista, a tali file e cartelle aggiunti non si direbbe sia successa alcuna cosa, né che siano protetti. Se per puro caso un’applicazione dovesse riuscire a risultare sicura, Comodo non disporrebbe di un’autodifesa valida per proteggersi ed evitare di farsi disattivare al primo riavvio del computer.

Dettagli tecnici:

Ho installato Avira Free Antivirus con i seguenti dettagli ottenibili nella scheda “Informazioni sulla versione” della finestra “Informazioni su Avira Free Antivirus”, raggiungibile con il clic destro nell’icona di Avira e scegliendo “Informazioni su Avira Free Antivirus” dal menu contestuale.

Programma | Versione | Data
Versione del prodotto 13.0.0.3640 18/04/2013
Motore di ricerca 8.02.12.66 19/06/2013
File di definizione dei virus 7.11.85.170 20/06/2013
Control Center 13.06.00.1194 19/06/2013
Config Center 13.06.00.1246 19/06/2013
Luke Filewalker 13.06.00.1262 19/06/2013
Real-Time Protection 13.06.00.778 19/06/2013
Filtro 13.05.01.10 19/06/2013
Web Protection 13.06.07.1236 19/06/2013
Pianificatore 13.06.00.778 19/06/2013
Updater 13.06.14.1262 19/06/2013
Rootkits Protection 13.05.01.05 19/06/2013
Local Decider 13.06.02.1262 19/06/2013

Ho installato Comodo Firewall (la versione gratuita) ieri e ieri stesso ha fatto l’aggiornamento per la nuova versione uscita proprio tra ieri e oggi se non ricordo male.
Le seguenti impostazioni di autoprotezione (o autodifesa) di Avira sono attivate:
• Proteggi i processi da una chiusura indesiderata;
• Protezione del processo avanzata;
• Proteggi i file e le voci di registrazione dalla manipolazione.
Inoltre anche l’opzione “Proteggi il file host di Windows da modifiche” è abilitata.

Purtroppo non ho fatto queste prove con la versione che ho installato ieri, cioè quella che ho avuto subito prima di effettuare l’aggiornamento, quindi non so dire se il problema persisteva anche allora oppure è dovuto alla nuova versione. D’altro canto mi pareva improbabile che c’è la sezione Oggetti protetti disponibile e che tale funzionalità sia disponibile sono nella versione a pagamento (altrimenti credo che non sarebbe disponibile dalle impostazioni avanzate), così ho pensato subito ad un bug, forse causato da qualche strano conflitto con Avira di cui Avira stesso pare non subire effetti negativi. Perciò chiedo di verificare se questo strano evento capiti solo a me o anche agli altri.
Esempi di chiavi di registro accessibili senza problemi:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\cmdagent
Relativa al servizio cmdagent.exe che si esegue come processo in utente NT AUTHORITY\SYSTEM.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\cmderd
Relativa al driver di tipo FILE_SYSTEM_DRIVER cmderd.sys in C:\WINDOWS\system32\drivers.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\cmdGuard
Relativa al driver di tipo FILE_SYSTEM_DRIVER cmdguard.sys in C:\WINDOWS\system32\drivers.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\cmdHlp
Relativa al driver di tipo KERNEL_DRIVER cmdhlp.sys in C:\WINDOWS\system32\drivers.
Cartelle accessibili senza problemi:
C:\Program Files\COMODO
C:\Program Files\COMDOO\COMODO Internet Security
C:\Program Files\COMODO\Dragon
File accessibili senza problemi:
C:\Program Files\COMODO\COMODO Internet Security*
C:\WINDOWS\system32\drivers\cmderd.sys
C:\WINDOWS\system32\drivers\cmdguard.sys
C:\WINDOWS\system32\drivers\cmdhlp.sys
C:\WINDOWS\system32\drivers\cmdide.sys
Sono accessibili anche i file dentro le cartelle presenti in C:\Program Files\COMODO\COMODO Internet Security
C:\Program Files\COMODO\Dragon* (e i file presenti nelle sottocartelle).
Molti file presenti in C:\Program Files\Comodo\GeekBuddy (gli altri se non sono modificabili è perché sono in uso) sono vulnerabili.

Un semplice file .BAT avviato con elevazione UAC (se l’UAC è disabilitato non è necessario neanche questo requisito) è sufficiente per rendere inutilizzabile al prossimo riavvio il programma.

Altre informazioni tecniche da aggiungere obbligatoriamente:
• Comodo Firewall Free 6.2.282872.2847
• Sistema operativo: Windows 7 SP1 32-bit
• Tipo di connessione a Internet (non credo che comunque in questo caso sia rilevante): ADSL
• Tipo di utente: Amministratore.
• Altri software attivi: Avira Free Antivirus (dettagli sopra), UAC al massimo livello.
• Eventuali applicazioni di sicurezza che sono state disinstallate/disabilitate prima di installare Comodo: Zone Alarm e Online Armor (ho provato entrambi i firewall ma entravano in conflitto con Avira e li ho rimossi).
• Eventuali applicazioni di sicurezza e non che sono state installate/disinstallate/disabilitate dopo aver installato un’applicazione Comodo: Nessuna (apparte Windows Firewall che forse era già disabilitato).
Pertanto vorrei sapere se la cosa succede solo a me o anche ad altri.
• Se serve uno screenshot, vi chiedo gentilmente di chiedermelo perché non so di cosa farlo.

Aspetto una risposta.

Riccardo

Ciao RickyDefended,

benvenuto nel forum :-TU.

Premetto che non sono un tecnico, sono solo un utente.

Ho fatto qualche prova e anche io sono riuscito a rinominare i file.

Mi sorge però il seguente dubbio…

Utilizzo di un bat per rinominare file e cartelle

Tu hai provato a creare un bat del genere o era solo un ipotesi? Perchè secondo me Comodo dovrebbe identificare il bat come programma non sicuro (e quindi scatenare un’allerta pop-up) e inoltre il bat dovrebbe chiedere i privilegi di amministratore (e secondo me anche qui dovrebbe apparire un’allerta pop-up).

Rinominare i file e le cartelle con l’opzione “Rinomina” di windows

Premesso che anche qui abbiamo agito entrambi come utenti amministratori e si dovrebbe ripetere la prova con un utenza con diritti non amministrativi ho provato a controllare la regola HIPS che gestisce il programma antivirus.

Si dovrebbe capire quale file di windows si attiva per rinominare una cartella e controllare, nella regola stessa, se quest’ultimo può agire indisturbato.

La regola che gestisce il programma antivirus la si trova in:

“Regole HIPS” → “Comodo internet security”

Cliccandoci sopra con il tasto destro del mouse e selezionando modifica si può vedere la regola in dettaglio.
Selezionando “Impostazioni di protezione” si può capire quali file possono agire su CIS e quali no.

Saluti

fuco

Ciao fuco,

grazie mille per la risposta.

Facendo diverse prove, ho potuto constatare che effettivamente Comodo intercetta l’esecuzione dei file bat.
Se si tenta di eseguire c:\prova.bat, in realtà si prova ad eseguire:

cmd.exe /c c:\prova.bat

e Comodo interpreta ciò come l’esecuzione di prova.bat. Tuttavia, e qui esce un altro bug, se si usa una riga di comando del tipo:

cmd.exe /c echo prova&c:\prova.bat

non viene notificato il tentativo di eseguire prova.bat.

Ad ogni modo, ci sono troppe falle: l’UAC, se messo a livello raccomandato (per vedere i livelli avvia UserAccountControlSettings.exe dal prompt dei comandi), che sarebbe il terzo a partire dal basso, non visualizza alcun popup per la modifica dei file in C:\Program Files\COMODO. Se provi a metterlo al livello 3, vai da comodo e rifai questa prova, facendo clic su “Continua” con lo scudetto il file viene rinominato senza popup! Mentre solo con il livello massimo viene visualizzato un popup… Molti potrebbero disattivare l’UAC perché hanno problemi di compatibilità con vecchi programmi, o perché dà fastidio (per me una spiegazione non ragionevole, comunque…). In modalità gioco l’HIPS consente praticamente tutto e come Esplora risorse qualcuno potrebbe modificare i file. Tuttavia l’elevazione è particolare, infatti compare un CLSID e non un eseguibile, ma un buon virus eseguito in modalità gioco potrebbe neutralizzare del tutto Comodo.
Perciò, requisiti per un virus perché sia in grado di neutralizzare Comodo:
• UAC a livello uguale o inferiore a quello predefinito (il 3°);
• Modalità gioco attiva;
• Questo bug deve esserci ancora.

Perciò, basta risolvere il bug e non ci dovrebbero essere problemi fino a che qualcuno non scopra un nuovo bug nella sicurezza.

Aspetto una risposta da chiunque.

Riccardo

Ciao Riccardo, non ho avuto il tempo di leggere tutto, ma quello che hai scritto mi sembra piuttosto interessante e valido.
Ti consiglio di riportare tutto qui in inglese:

Ciao Randello,

grazie mille per il suggerimento. Appena potrò segnalerò i bug in inglese (anche se come lingua non la conosco molto bene).

Riccardo