Эксперт Google Project Zero Тевис Орманди (Tavis Ormandy) известен тем, что любит находить баги в продуктах разработчиков антивирусных решений. Ранее Орманди уже прошелся по программам компаний Avast, AVG, Malwarebytes, Trend Micro и FireEye. Также Орманди совсем недавно критиковал компанию Comodo за ее «защищенный» браузер. Новое разоблачение исследователя снова касается продуктов Comodo, теперь эксперт обнаружил, что компания устанавливает на компьютеры пользователей VNC-сервер для осуществления удаленной технической поддержки.

Орманди пишет, что вместе с Comodo Antivirus, Comodo Firewall и Comodo Internet Security распространяется программа GeekBuddy. Первыми ее появление заметили сами пользователи, обратившие внимание, что на их машинах появился некий VNC-сервер. Орманди решил заняться расследованием происходящего.

GeekBuddy – инструмент для удаленного управления рабочим столом. Сотрудники Comodo используют данное приложение для оказания удаленной технической поддержки пользователям. Но Орманди пишет, что GeekBuddy, по сути, является опасным бэкдором, который можно эксплуатировать с недобрыми намерениями.

Орманди не преувеличивает. Первая версия GeekBuddy вообще не требовала никакого пароля. Получить удаленный доступ к ПК пользователя мог любой желающий, достаточно было подобрать верное сочетание IP:port. Более новые версии приложения уже защищены паролем, однако эксперт пишет, что этот пароль ненадежен и его крайне легко узнать, скомпрометировав данные, хранящиеся в реестре Windows.

«Пароль – это просто первые 8 символов SHA1 (Disk.Caption + Disk.Signature + Disk.SerialNumber + Disk.TotalTracks)», — объясняет эксперт.

Так как GeekBuddy устанавливается с полными привилегиями администратора, атакующий, подключившийся к машине жертвы через данное приложение, получит абсолютный контроль над системой.

Орманди опубликовал простой эксплоит из трех строк, позволяющий извлечь SHA1 машины жертвы, вырезать первые 8 символов и передать их атакующему.

Еще в январе 2016 года эксперт сообщил о проблеме разработчикам Comodo, и на днях компания устранила баг, выпустив GeekBuddy 4.25.380415.167.



2 комментария

  1. balex42

    20.02.2016 at 14:48

    Спасибо за информацию. Я как чувствовал, при установке файрвола и антивируса Comodo снес сразу на фиг их браузер Chromodo и GeekBuddy. Теперь вижу, что правильно сделал. Спасибо

  2. Андрей

    26.02.2016 at 12:02

    Ну если с обнаружениями у Comodo ещё всё норм на максимальных настройках, то с производительностью и ресурсоёмкостью совсем всё грустно. 🙁 В отличии от антивирусов от других производителей с максимальными настройками.

Оставить мнение