В докладе Tenable Research сообщается, что в Comodo Antivirus 12.0.0.6810 и Comodo Antivirus Advanced содержится несколько опасных уязвимостей (соответственно, и в Comodo Internet Security этой же версии).
Comodo Antivirus предназначен для защиты компьютеров от вторжений и заражений вредоносным ПО. Однако, исследователи в области компьютерной безопасности нашли недостатки программы, которые могут ослабить защитные свойства продукта.
Дэвид Уэллс (David Wells), инженер из Tenable, подробно описал уязвимости программы, которые можно использовать для выхода из песочницы и повышения привилегий на системном уровне. Также был создан подтверждающий концепцию прототип кода для эксплуатации уязвимости.
Первая уязвимость с идентификатором CVE-2019-3969 связана с ошибкой в компоненте CmdAgent, которая позволяет злоумышленникам обходить проверки подписи. В случае успешного обхода злоумышленники могут выполнить локальное повышение привилегий.
Вторая уязвимость, CVE-2019-3970, связана с серьезной проблемой при обработке базы данных сигнатурных определений. Tenable сообщает, что база данных хранится в защищенной папке на диске, но любой процесс с низкими привилегиями может модифицировать данные в памяти.
Еще один недостаток безопасности, CVE-2019-3971, вызван LCP-портом cmdvrtLPCServerPort, к которому можно получить доступ и завершить вместе с его дочерними экземплярами svchost - из-за использования жестко закодированных NULL, используемых для адреса источника memcpy.
С CmdAgent.exe связана еще одна уязвимость - CVE-2019-3972. Агент выполняет чтение из объекта раздела, помеченного как структура SharedMemoryDictionary. Таким образом, если объект изменен злоумышленниками, то это может привести к сбою и чтению вне границ буфера.
Наконец, последняя обнаруженная уязвимость, CVE-2019-3973, затрагивает только старые версии Comodo Antivirus до 11.0.0.6582. Ошибка возникает из-за того, что Cmdguard.sys открывает порт фильтра, который может привести к сбою и компрометации процесса с низким уровнем привилегий для защиты дескриптора порта. Как только это произойдет, злоумышленник сможет отправлять специально созданные сообщения, чтобы инициировать запись за пределами допустимого диапазона и спровоцировать сбой ядра.
Отчет Tenable был передан Comodo 17 апреля. К июню некоторые уязвимости были признаны разработчиком. Однако, Comodo считает, что проблема с LPE «отчасти связана с ошибкой Microsoft».
Компания Tenable проинформировала вендора о своих планах выпустить CVE 19 июня. 8 июля Tenable запросила график исправлений для непропатченных уязвимостей.
Tenable сообщает:
На момент публикации мы не осведомлены о каких-либо исправлениях, выпущенных Comodo, которые устраняют эти уязвимости. Мы рекомендуем отслеживать и своевременно устанавливать будущие выпуски Comodo Antivirus.
Comodo не предоставила официальный комментарий. Тем не менее, представитель Infosecurity заявил:
Не было зарегистрировано ни одного инцидента с использованием какой-либо из найденных уязвимостей, и клиенты не сообщали нам о связанных с этим проблемах. Команда разработчиков Comodo усердно работала над устранением всех уязвимостей, и все исправления будут выпущены к понедельнику, 29 июля.
Также ожидается официальный комментарий от Microsoft.
По материалам ZDnet
Угрозы безопасности
• Уязвимость WinRAR позволяет обходить предупреждения безопасности Mark of the Web в Windows
• Apple устранила более 50 уязвимостей в свежих обновлениях iOS, iPadOS и macOS
• Вирус Triada на поддельных смартфонах крадёт Telegram-аккаунты и криптовалюту
• Атака «Фишинг как услуга» использует DNS-over-HTTPS для обхода обнаружения
• Mozilla предупреждает о критической уязвимости обхода песочницы в Firefox для Windows
• Популярные расширения Chrome взломали. Как защитить себя?