-
Дыра в Agnitum Outpost Firewall Pro v6.5.3
Форумчане, обнаружил тут странное поведение сабжа.
Проблема заключается в следующем - не контролируется загрузка драйверов программами. В настройках Локальной безопасности само собой стоит галка в пункте NT-подсистема/загрузка драйвера, но при запуске любой программы (например CPU-Z, GPU-Z и т.д.) они спокойно запускаются и работают, аутпост даже не пикает.
Возможно причина кроется в том, что я работаю под пользовательской учеткой. Аутпост, само собой, был установлен из под админа. При этом, если запустить вышеуказанные программы под пользователем - они ругаются, что не могут загрузить драйвер - недостаточно полномочий (что разумеется логично), а при запуске из под Админа через "запустить от имени" - они запускаются и работают, но, как я уже сказал, Аутпост - ни гу-гу.
Связался с саппортом, согласно их рекомендациям включил отладочный режим, сделал логи, выслал их и все запрошенное - в результате, после МЕСЯЧНОГО ожидания и моего вопроса "как там дела?" мне ответили, что дескать - попытки загрузки драйвера не обнаружены (читай - сам дурак).
На мою робкую реплику что не приходит ли вам в голову, уважаемые, что механизм логирования полагается на информацию, предоставляемую ему другим модулем, который отвечает собственно за перехват "опасных" событий (в данном случае - загрузки драйвера в память). И если этот модуль глючит, то ни ядро отпоста, ни процедура логирования никаких данных и не получат?!
В ответ - все еще тишина...
У меня скоро лицензия на него заканчивается, вот и думаю - то ли купить еще, т.к. как файер - он меня устраивает (много лучше чем КИСа по удобству и наглядности), но с такими приколами - кто их знает что там еще криво работает?
Если кто имеет возможность проверить - буду благодарен.
Напомню - надо установить аутпост под админом (само собой), а потом зайти в систему под обычным пользователем и запустить какие-лиюо программы, грузящие драйвер.
Или кто что думает по этому вопросу?
спасибо.
ОС: ВинХР Рус, почти последние патчи и апдейты.
Из сторонних секурити программ стоит только КАВ 8.0.0.506 - ТОЛЬКО АНТИВИРУС, все остальные модуля (включая проактивку и прочее) даже не установленны. При том что в "доверенных" обоих программах они друг у друга прописанны.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Вот тут посмотрите:
http://anti-malware.ru/hips_test_ring0
Касаемо проблемы Outpost - все дело в том, что в настройках правил у Вас разрешено services.exe грузить драйвер. Это правило предлагает создать хипс, как только какое-либо приложение пытается загрузить драйвер через SCM.
-
-
Сообщение от
vaber
Вот тут посмотрите:
http://anti-malware.ru/hips_test_ring0
Касаемо проблемы Outpost - все дело в том, что в настройках правил у Вас разрешено services.exe грузить драйвер. Это правило предлагает создать хипс, как только какое-либо приложение пытается загрузить драйвер через SCM.
Читал, много думал... спасибо за инфу.
Кстати у меня обучающий режим никогда включен и не был, а что до service.exe - конечно ему разрешена загрузка драйверов.
Это что ж получается, официальная дырень? И как с этим бороться - есть ли способ кроме как перейти на другой продукт?
-
Сообщение от
Flooter
Это что ж получается, официальная дырень? И как с этим бороться - есть ли способ кроме как перейти на другой продукт?
Советую обратиться с этим вопросом не сюда, а в официальную техподдержку вендора.
-
-
В версии 6.5.4 воспроизводится?
-
Сообщение от
OSSP2008
В версии 6.5.4 воспроизводится?
Еще как!
Счас убрал у servce.exe разрешение на загрузку драйвера - действительно, при запуске CPU-Z аутпост вывалил запрос на загрузку драйвера от имени servce.exe.
Счас боюсь перезагружаться, т.к. наверное задолбаюсь "да" нажимать...
PS: Кстати автоматом система не обновилась с версии 6.5.3 до 6.5.4 - "все модули последние", мля...
Меня все больше и больше интерес разбирает - ЧТО ЕЩЕ там так же через ЖО работает?