Dziura w Comodo umożliwia przejęcie kontroli nad komputerem

Antywirusy to oprogramowanie, które przynajmniej w teorii powinno chronić nas przed różnego rodzaju szkodnikami i zagrożeniami pochodzącymi z Internetu, a także innych komputerów. Niestety choć czasami wydajemy na nie nawet spore kwoty, nie są one w stanie zapewnić nam odpowiedniej ochrony. To, że żaden program nie jest skuteczny na 100 procent jest jednak czymś naturalnym, ślepa wiara nie ma więc sensu. Gorzej, gdy to antywirus może być źródłem infekcji lub przyczynić się do zaatakowania naszego komputera. Specjaliści z Google znów przyjrzeli się oprogramowaniu udostępnianym przez firmę Comodo i znaleźli lukę, która umożliwia napastnikowi podłączenie się do komputera ofiary i przejęcie nad nim kontroli.

Asystent pomocy zdalnej okazał się najsłabszym ogniwem - umożliwia przejęcie kontroli nad atakowanym komputerem.

Odkrywcą po raz kolejny jest Tavis Ormandy z zespołu Google Project Zero, który już zalazł za skórę przynajmniej kilku firmom tworzącym oprogramowanie ochronne – od kilku miesięcy bezlitośnie wytyka on wszelkie wady w nich zawarte, co ma na celu nie tylko jego poprawę, ale także pokazanie, że aplikacje te niekoniecznie są bezpieczne. Tym razem problem dotyczy serwera VNC dostarczanego wraz z pakietami Comodo Antivirus, Comodo Firewall, a także połączenia tych składników, czyli pełnego Comodo Internet Security. Wszystkie z nich zawierają moduł GeekBudy służący do udzielania zdalnej pomocy technicznej użytkownikom i usuwania za nich zagrożeń. To właśnie on okazał się dziurawy i pozwala na połączenie zdalne.

Z aplikacji i tego tytułu połączeń teoretycznie korzystać mogą tylko pracownicy Comodo. Teoretycznie, bo pierwsza wersja wymagała tylko znajomości adresu IP i portu, połączenie odbywało się automatycznie. Użytkownicy składali skargi na takie rozwiązanie i firma dodała ochronę za pomocą hasła. Ormandy odkrył, że jest ono bardzo proste: to pierwsze 8 znaków z ciągu SHA-1 generowanego na podstawie kilku danych technicznych komputera zgormadzonych w rejestrze. Narzędzie działa na uprawnieniach administratora, daje więc pełny dostęp do komputera. Travis stworzył więc prostego exploita, który generuje wymagane dane i wysyła je do atakującego – wystarczy przekonać ofiarę do jego uruchomienia, a zaznaczmy, że przecież aplikacja nie robi tak naprawdę niczego szkodliwego i systemy ochronne jej nie wykryją.

Nie jest to pierwsza wpadka Comodo. Pamiętajmy jednak o tym, że dziury posiada każde oprogramowanie, nie tylko ten pakiet.

Jeżeli korzystamy z Comodo, powinniśmy jak najszybciej wyłączyć moduł GeekBudy, inaczej narażamy się na atak, tym bardziej, że teraz o luce wie już każdy. Nie jest to pierwsza wpadka Comodo. W ostatnim czasie pracownik Google zwrócił uwagę na niebezpieczeństwa związane z przeglądarką Chromodo, która ma teoretycznie chronić użytkowników, a która w praktyce wyłącza niektóre z zabezpieczeń i jest instalowana domyślnie, bez wyraźnego zapytania użytkownika o zgodę. Odkrycia te powodują, że Comodo może nieco stracić na reputacji, a przecież firma udostępnia swoje oprogramowanie bez jakichkolwiek opłat.