В начале февраля 2016 года Тави Орманди (Tavis Ormandy) сообщил, что собственный веб-браузер Comodo под названием Chromodo представлял опасность из-за ужасных настроек безопасности. Теперь Орманди обнаружил встроенный в Comodo инструмент удаленного доступа, идеальный для хакеров.
При установке Comodo Anti-Virus, Comodo Firewall или Comodo Internet Security на компьютер Windows, в систему устанавливается программа GeekBuddy, которая используется специалистами Comodo для оказания удаленной технической поддержки на компьютерах пользователей.
GeekBuddy устанавливает VNC-сервер с административными привилегиями, который включен по умолчанию и открыт в локальной сети. Первоначально сервер вообще не имел парольной защиты - поэтому любой мог подключиться и управлять системой. Эта уязвимость была исправлена введением парольной защиты, но, как обнаружил Орманди, для сервера используется слабый предсказуемый пароль.
Если Ваш компьютер защищен Comodo, вредоносная программа, злоумышленники в локальной сети или возможно в Интернете могут получить доступ над компьютером.
Любой авторизованный пользователь или программа запущенная в системе могут захватить пароль из системного реестра и получить высокие привилегии за счет подключения к VNC-серверу. Удаленные пользователи могут попытаться подобрать пароль, потому что он слабый, простой и предсказуемый. Фактически на компьютерах с Comodo существует бэкдор.
Комментарий Орманди: “Это очевидное и возмутительное повышение пользовательских привилегий, которое по мнению Comodo было решено генерацией пароля вместо того, чтобы оставить его пустым. Это не поможет, ведь пароль состоит из 8 символов и простой SHA1 комбинации (Disk.Caption + Disk.Signature + Disk.SerialNumber + Disk.TotalTracks). Наверняка в Comodo не рассчитывали, что кто-нибудь будет проверять, каким способом генерируется пароль и поэтому преждевременно объявили о решении проблемы”.
Орманди сообщил об уязвимости в Comodo еще 19 января 2016 года. 18 февраля 2016 года, Comodo официально сообщила, что уязвимость устранена в версии GeekBuddy 4.25.380415.167, которая была выпущена 10 февраля. У 90 процентов пользователей обновление будет установлено автоматически.
Угрозы безопасности
• Баг? Нет. Telegram раскрывает точное местоположение своих пользователей
• Яндекс.Браузер отключил расширения SaveFrom, Frigate Light, Frigate CDN из-за потенциально опасной активности
• Что принёс нам 2020 год?
• Большинство организаций подвергаются повторной атаке в течение года
• Вредоносные расширения для Chrome и Edge с 3 миллионами пользователей по-прежнему доступны для установки
• Противостояние трёх сетей Интернета