通过Comodo启用权限升级分发的远程桌面工具
安全软件供应商Comodo在其GeekBuddy远程PC支持工具中修补了安全弱点,该工具可以启用本地恶意软件或利用以获得计算机上的管理权限。
GeekBuddy安装VNC(虚拟网络计算)远程桌面服务,允许Comodo技术人员连接到用户“PC,并帮助他们解决问题或清洁恶意软件感染。该应用程序与Antivirus Advanced,Internet Security Pro和Internet Security等彗拓产品捆绑在一起。虽然它不清楚目前有多少PC有GeekBuddy安装,但Comodo声称Tech Support Service迄今为止已经有“2500万满意的用户”。
Google Security Engineer Tavis Ormandy最近发现GeekBuddy安装的VNC服务器受到易于确定的密码保护。
密码由来自计算机的磁盘标题,磁盘签名,磁盘序列号和磁盘总曲目组成的字符串的第一个八个字符组成。
使用此类磁盘信息来导出密码的问题是它可以轻松从未体现的帐户获得。同时,密码解锁的VNC会话具有管理权限。这一切都意味着任何通过安装GeekBuddy安装的计算机上的有限帐户的人都可以利用本地VNC服务器升级其特权并完全控制系统。
对于在非特权帐户上运行的任何恶意软件程序或沙箱软件中的利用,这也是如此。据Ormandy介绍,受保护的VNC服务器可用于绕过Google Chrome的Sandbox,Comodo自己的应用程序沙箱和Internet Explorer的受保护模式。
攻击者甚至不需要重建密码,因为它的值已经存储在Comodo软件中的注册表中,Ormandy在咨询中表示。谷歌项目ZERES ZEROSE研究人员向2018年1月19日报告了MOCODO的问题,并在科摩多告知他的情况下公开披露它在2月10日发布的GeekBuddy版本4.25.380415.167中修复了问题。据Ormandy称,该公司表示,超过90%的安装已经更新。
这不是GeekBuddy第一次将计算机暴露给风险。2015年5月,一名研究人员报告说,GeekBuddy VNC服务器根本不需要密码,使特权升级更容易。Ormandy发现的密码不足可能是公司试图修复先前报告的问题。
2月初,Ormandy报告说,Chromodo是由Comodo Internet Security安装的基于铬的浏览器,禁用了同样的原始策略。
同样的策略是现代浏览器中最重要的安全机制之一,并防止在一个站点的上下文中运行的脚本与其他网站的内容进行交互。例如,如果没有它,在一个浏览器选项卡中打开的恶意网站可以访问在另一个选项卡中打开的用户的电子邮件帐户。
根据Ormandy的说法,Comodo首次尝试修复同样的策略问题是不成功的,其补丁是绕过的。该公司最终部署了完整的修复。
在过去的一年中,Ormandy在许多端点安全产品中发现了关键漏洞,提高了关于安全供应商是否足够检测和防止在其开发过程中的错误的问题。