Comodo Firewall Pro绕过本地保护机制漏洞

伯夷叔齐

1、Comodo Firewall Pro（之前被称为Comodo个人防火墙）将一些内部设置存储在HKLM\SYSTEM\Software\Comodo\Personal Firewall注册表项中，Comodo驱动保护这个表项以防其他应用程序更改设置。如果满足了非常特殊的条件的话就可以绕过这个保护机制。CFP内部使用一个命名管道，尽管名称是变化的，但可以判断出来。多次打开这个管道的进程可以控制受到保护的CFP设置，修改设置可能导致在重启后禁用所有的保护机制。

http://www.matousec.com/info/advisories/Comodo-Bypassing-settings-protection-using-magic-pipe.php
漏洞测试文件下载（请勿轻易运行此测试程序！！！运行前，要有充分的了解和思想准备）


至今还没有解决的版本：
Comodo Firewall Pro 2.4.18.184
Comodo Firewall Pro 2.4.17.183
Comodo Firewall Pro 2.4.16.174
Comodo Personal Firewall 2.3.6.81
可能所有的Comodo个人防火墙版本都存在这个问题，不知道最新的2.4.18.184的逐步升级中解决没有 。————我已经通过此测试文件进行了测试，看来现在还没有解决这个问题，当运行后，我关闭COMODO并重新启动，所有保护功能全部关闭，必须手动打开！！！！

2、Comodo 防火墙存在设计错误，远程攻击者可以利用漏洞对应用程序进行拒绝服务攻击。 Comodo 防火墙在SSDT中HOOK多个函数，但缺少对来自用户模式中的参数数据，用户使用非法的参数调用NtConnectPort (CFP 2.4.16.174不受影响), NtCreatePort (CFP 2.4.16.174不受影响), NtCreateSection, NtOpenProcess, NtOpenSection, NtOpenThread 和NtSetValueKey，可导致cmdmon.sys中出现错误而导致系统崩溃。 http://www.matousec.com/info/advisories/Comodo-Multiple-insufficient-argument-validation-of-hooked-SSDT-functions.php 漏洞测试文件下载（请勿轻易运行，运行此程序前，要有必要的思想准备） 没有解决此BUG的版本: Comodo Firewall Pro 2.4.16.174 Comodo Personal Firewall 2.3.6.81 probably all older versions of Comodo Personal Firewall 2 possibly older versions of Comodo Personal Firewall 看来大家不用惊慌,COMODO 2.4.18.184版已经成功的修正了此BUG.

3、绕过COMODO防火墙的组件保护
comodo firewall pro comodo和个人防火墙的一个漏洞被公布. 可以通过调用一个弱“哈希”函数绕过其组件控制保护, 其结果可能是,在没有任何提示和征兆的情况下，注入任意DLL来操纵进程.
http://www.matousec.com/info/?news=66-Bypassing_Comodo_Firewall_Pro_component_protection

4、COMODO并不比其他防火墙好多少
我们已经完成了分析,并公布了comodo个人防火墙2.3.6.81的测试报告 . 除了它泄漏测试中非常强大的能力外， comodo没有一个良好的安全设计，且执行效能也相当糟糕, bug也多 . 不过,其最终的分数,也因为其出色的防泄露保护而积分领先于zonealarm ,所以,居第一位的排名.
http://www.matousec.com/info/?news=60-Comodo_Firewall_not_much_better_than_others

[ 本帖最后由 伯夷叔齐 于 2007-5-24 18:52 编辑 ]