Дыра в Agnitum Outpost Firewall Pro v6.5.3

[Flooter]

Форумчане, обнаружил тут странное поведение сабжа.
Проблема заключается в следующем - не контролируется загрузка драйверов программами. В настройках Локальной безопасности само собой стоит галка в пункте NT-подсистема/загрузка драйвера, но при запуске любой программы (например CPU-Z, GPU-Z и т.д.) они спокойно запускаются и работают, аутпост даже не пикает.

Возможно причина кроется в том, что я работаю под пользовательской учеткой. Аутпост, само собой, был установлен из под админа. При этом, если запустить вышеуказанные программы под пользователем - они ругаются, что не могут загрузить драйвер - недостаточно полномочий (что разумеется логично), а при запуске из под Админа через "запустить от имени" - они запускаются и работают, но, как я уже сказал, Аутпост - ни гу-гу.

Связался с саппортом, согласно их рекомендациям включил отладочный режим, сделал логи, выслал их и все запрошенное - в результате, после МЕСЯЧНОГО ожидания и моего вопроса "как там дела?" мне ответили, что дескать - попытки загрузки драйвера не обнаружены (читай - сам дурак).

На мою робкую реплику что не приходит ли вам в голову, уважаемые, что механизм логирования полагается на информацию, предоставляемую ему другим модулем, который отвечает собственно за перехват "опасных" событий (в данном случае - загрузки драйвера в память). И если этот модуль глючит, то ни ядро отпоста, ни процедура логирования никаких данных и не получат?!
В ответ - все еще тишина...

У меня скоро лицензия на него заканчивается, вот и думаю - то ли купить еще, т.к. как файер - он меня устраивает (много лучше чем КИСа по удобству и наглядности), но с такими приколами - кто их знает что там еще криво работает?

Если кто имеет возможность проверить - буду благодарен.
Напомню - надо установить аутпост под админом (само собой), а потом зайти в систему под обычным пользователем и запустить какие-лиюо программы, грузящие драйвер.

Или кто что думает по этому вопросу?

спасибо.

ОС: ВинХР Рус, почти последние патчи и апдейты.
Из сторонних секурити программ стоит только КАВ 8.0.0.506 - ТОЛЬКО АНТИВИРУС, все остальные модуля (включая проактивку и прочее) даже не установленны. При том что в "доверенных" обоих программах они друг у друга прописанны.

[vaber]

Вот тут посмотрите:
http://anti-malware.ru/hips_test_ring0
Касаемо проблемы Outpost - все дело в том, что в настройках правил у Вас разрешено services.exe грузить драйвер. Это правило предлагает создать хипс, как только какое-либо приложение пытается загрузить драйвер через SCM.

[Flooter]

Вот тут посмотрите:
http://anti-malware.ru/hips_test_ring0
Касаемо проблемы Outpost - все дело в том, что в настройках правил у Вас разрешено services.exe грузить драйвер. Это правило предлагает создать хипс, как только какое-либо приложение пытается загрузить драйвер через SCM.

Читал, много думал... спасибо за инфу.
Кстати у меня обучающий режим никогда включен и не был, а что до service.exe - конечно ему разрешена загрузка драйверов.

Это что ж получается, официальная дырень? И как с этим бороться - есть ли способ кроме как перейти на другой продукт?

[rav]

Это что ж получается, официальная дырень? И как с этим бороться - есть ли способ кроме как перейти на другой продукт?

Советую обратиться с этим вопросом не сюда, а в официальную техподдержку вендора.

[OSSP2008]

В версии 6.5.4 воспроизводится?

[Flooter]

В версии 6.5.4 воспроизводится?

Еще как!
Счас убрал у servce.exe разрешение на загрузку драйвера - действительно, при запуске CPU-Z аутпост вывалил запрос на загрузку драйвера от имени servce.exe.

Счас боюсь перезагружаться, т.к. наверное задолбаюсь "да" нажимать...

PS: Кстати автоматом система не обновилась с версии 6.5.3 до 6.5.4 - "все модули последние", мля...
Меня все больше и больше интерес разбирает - ЧТО ЕЩЕ там так же через ЖО работает?