Перейти к содержанию
Авторизация  
Сталкер

Продукты COMODO устанавливают на ПК пользователя опасную утилиту удаленной поддержки

Рекомендуемые сообщения

Эксперт Google Project Zero Тевис Орманди (Tavis Ormandy) известен тем, что любит находить баги в продуктах разработчиков антивирусных решений. Ранее Орманди уже прошелся по программам компаний Avast, AVG, Malwarebytes, Trend Micro и FireEye. Также Орманди совсем недавно критиковал компанию Comodo за ее «защищенный» браузер. Новое разоблачение исследователя снова касается продуктов Comodo, теперь эксперт обнаружил, что компания устанавливает на компьютеры пользователей VNC-сервер для осуществления удаленной технической поддержки.


Орманди пишет, что вместе с Comodo Antivirus, Comodo Firewall и Comodo Internet Security распространяется программа GeekBuddy. Первыми ее появление заметили сами пользователи, обратившие внимание, что на их машинах появился некий VNC-сервер. Орманди решил заняться расследованием происходящего.

GeekBuddy – инструмент для удаленного управления рабочим столом. Сотрудники Comodo используют данное приложение для оказания удаленной технической поддержки пользователям. Но Орманди пишет, что GeekBuddy, по сути, является опасным бэкдором, который можно эксплуатировать с недобрыми намерениями.


Орманди не преувеличивает. Первая версия GeekBuddy вообще не требовала никакого пароля. Получить удаленный доступ к ПК пользователя мог любой желающий, достаточно было подобрать верное сочетание IP:port. Более новые версии приложения уже защищены паролем, однако эксперт пишет, что этот пароль ненадежен и его крайне легко узнать, скомпрометировав данные, хранящиеся в реестре Windows.



«Пароль – это просто первые 8 символов SHA1 (Disk.Caption + Disk.Signature + Disk.SerialNumber + Disk.TotalTracks)», — объясняет эксперт.


Так как GeekBuddy устанавливается с полными привилегиями администратора, атакующий, подключившийся к машине жертвы через данное приложение, получит абсолютный контроль над системой.


Орманди опубликовал простой эксплоит из трех строк, позволяющий извлечь SHA1 машины жертвы, вырезать первые 8 символов и передать их атакующему.


Еще в январе 2016 года эксперт сообщил о проблеме разработчикам Comodo, и на днях компания устранила баг, выпустив GeekBuddy 4.25.380415.167.


 


https://xakep.ru/2016/02/20/comodo-geekbuddy/


Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Загрузка...
Авторизация  

×
×
  • Создать...