Продукты COMODO устанавливают на ПК пользователя опасную утилиту удаленной поддержки

[Сталкер 7 078]

Эксперт Google Project Zero Тевис Орманди (Tavis Ormandy) известен тем, что любит находить баги в продуктах разработчиков антивирусных решений. Ранее Орманди уже прошелся по программам компаний Avast, AVG, Malwarebytes, Trend Micro и FireEye. Также Орманди совсем недавно критиковал компанию Comodo за ее «защищенный» браузер. Новое разоблачение исследователя снова касается продуктов Comodo, теперь эксперт обнаружил, что компания устанавливает на компьютеры пользователей VNC-сервер для осуществления удаленной технической поддержки.

Орманди пишет, что вместе с Comodo Antivirus, Comodo Firewall и Comodo Internet Security распространяется программа GeekBuddy. Первыми ее появление заметили сами пользователи, обратившие внимание, что на их машинах появился некий VNC-сервер. Орманди решил заняться расследованием происходящего.

GeekBuddy – инструмент для удаленного управления рабочим столом. Сотрудники Comodo используют данное приложение для оказания удаленной технической поддержки пользователям. Но Орманди пишет, что GeekBuddy, по сути, является опасным бэкдором, который можно эксплуатировать с недобрыми намерениями.

Орманди не преувеличивает. Первая версия GeekBuddy вообще не требовала никакого пароля. Получить удаленный доступ к ПК пользователя мог любой желающий, достаточно было подобрать верное сочетание IP:port. Более новые версии приложения уже защищены паролем, однако эксперт пишет, что этот пароль ненадежен и его крайне легко узнать, скомпрометировав данные, хранящиеся в реестре Windows.

«Пароль – это просто первые 8 символов SHA1 (Disk.Caption + Disk.Signature + Disk.SerialNumber + Disk.TotalTracks)», — объясняет эксперт.

Так как GeekBuddy устанавливается с полными привилегиями администратора, атакующий, подключившийся к машине жертвы через данное приложение, получит абсолютный контроль над системой.

Орманди опубликовал простой эксплоит из трех строк, позволяющий извлечь SHA1 машины жертвы, вырезать первые 8 символов и передать их атакующему.

Еще в январе 2016 года эксперт сообщил о проблеме разработчикам Comodo, и на днях компания устранила баг, выпустив GeekBuddy 4.25.380415.167.

 

https://xakep.ru/2016/02/20/comodo-geekbuddy/