Narzędzie pulpitu zdalnego rozpowszechniane za pomocą eskalacji uprawnień z obsługą Comodo

Dostawca oprogramowania zabezpieczającego Comodo naprawił słabość zabezpieczeń w swoim zdalnym narzędziu do obsługi komputera GeekBuddy, które mogło umożliwić lokalne złośliwe oprogramowanie lub exploity w celu uzyskania uprawnień administratora na komputerach.

GeekBuddy instaluje VNC (Virtual Network Computing) usługa zdalnego pulpitu, która umożliwia technikom Comodo łączenie się z komputerami użytkowników i pomaganie im w rozwiązywaniu problemów lub usuwaniu infekcji złośliwym oprogramowaniem. Aplikacja jest dołączona do produktów Comodo, takich jak Antivirus Advanced, Internet Security Pro i Internet Security Complete. Choć nie jest jasne, ile dokładnie komputerów ma zainstalowany GeekBuddy, Comodo twierdzi, że serwis pomocy technicznej ma "25 milionów zadowolonych użytkowników".

Inżynier bezpieczeństwa Google Tavis Ormandy odkrył ostatnio, że serwer VNC zainstalowany przez GeekBuddy jest chroniony przez łatwe do określenia hasło.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Hasło składa się z pierwszych ośmiu znaków z skrótu kryptograficznego SHA1 ciągu znaków utworzonego na podstawie podpisu dysku komputera , Podpis dysku, numer seryjny dysku i całkowite ślady dysku.

Problem z wykorzystaniem takich informacji na dysku w celu uzyskania hasła jest taki, że można go łatwo uzyskać z nieuprzywilejowanych kont. Tymczasem sesja VNC, którą odblokowuje hasło, ma uprawnienia administratora. To wszystko oznacza, że ​​każdy, kto ma dostęp do ograniczonego konta na komputerze z zainstalowanym GeekBuddy, może wykorzystać lokalny serwer VNC do eskalacji swoich uprawnień i przejąć pełną kontrolę nad systemem.

Dotyczy to również programów złośliwego oprogramowania działających na nieuprzywilejowanych warunkach konta lub exploity w piaskownym oprogramowaniu. Według Ormandy, słabo zabezpieczony serwer VNC może być używany do ominięcia piaskownicy Google Chrome, własnej piaskownicy aplikacji Comodo i trybu chronionego Internet Explorera.

Osoba atakująca może nie musi nawet zrekonstruować hasła, ponieważ jego wartość jest już przechowywana w rejestru przez oprogramowanie Comodo, Ormandy powiedział w poradniku. Badacz Google Project Zero zgłosił tę sprawę do Comodo 19 stycznia i ujawnił ją publicznie w czwartek po tym, jak Comodo poinformował go, że problem został rozwiązany w wersji GeekBuddy 4.25.380415.167 wydanej 10 lutego. Według Ormandy, firma stwierdziła, że ​​ponad 90 procent instalacji został już zaktualizowany.

Nie po raz pierwszy GeekBuddy naraża komputery na ryzyko. W maju 2015 r. Badacz poinformował, że serwer VNC GeekBuddy w ogóle nie wymagał podania hasła, co jeszcze bardziej uprościło przywileje. Niewłaściwe hasło znalezione przez Ormandy było prawdopodobnie próbą naprawienia wcześniej zgłoszonego problemu.

Na początku lutego Ormandy poinformował, że Chromodo, przeglądarka oparta na chromowaniu, zainstalowana przez Comodo Internet Security, ma wyłączoną politykę tego samego pochodzenia.

Polityka tego samego pochodzenia jest jednym z najważniejszych mechanizmów bezpieczeństwa w nowoczesnych przeglądarkach i zapobiega interakcji skryptów działających w kontekście jednej witryny z treścią innych witryn. Na przykład bez niej złośliwa strona internetowa otwarta na jednej karcie przeglądarki mogłaby uzyskać dostęp do konta e-mail użytkownika otwartego w innej karcie.

Pierwsza próba rozwiązania problemu z zasadą tego samego pochodzenia przez firmę Comodo zakończyła się niepowodzeniem, jego łatka była banalna do obejścia, zgodnie z do Ormandy. Firma ostatecznie wdrożyła kompletną poprawkę.

W ciągu ostatniego roku Ormandy wykryło krytyczne luki w zabezpieczeniach wielu produktów zabezpieczających punkty końcowe, podnosząc pytania o to, czy dostawcy zabezpieczeń robią wystarczająco dużo, aby wykryć i zapobiec takim błędom w procesie ich tworzenia.