Wiele podatności w Comodo AV/Comodo AV Advanced

[ichito]

Comodo to niezwykle popularny program antywirusowy nie tylko w naszym kraju...ma rzesze fanów i pewnie niemal tyle samo krytyków lub przeciwników nawet...ale to nie miejsce, by to rozwijać W każdym razie kilka dni temu na blogu firmy Tenable (to firma, która rozwija najbardziej znany skaner podatności pod nazwą Nessus) ukazało się zgłoszenie o wykryciu w programach Comodo AV/Comodo AV Advanced 5 luk bezpieczeństwa

Synopsis
Multiple vulnerabilities were discovered in Comodo Antivirus / Comodo Antivirus Advanced. The following vulnerabilities were verified to be present in version 12.0.0.6810 of Comodo Antivirus, except CVE-2019-3973, which only affects versions up to 11.0.0.6582.

CVE-2019-3969: Local Privilege Escalation (CmdAgent.exe)
CmdAgent.exe verifies COM clients requesting interfaces from Cmdagent.exe are signed binaries. An attacker can bypass this signing check however by changing the client's process name within it's PEB (Process Environment Block), or process hollowing a Comodo/Microsoft signed processes with malicious code.
(...)

CVE-2019-3970: Arbitrary File Write (Modification of AV Signatures)
Comodo keeps it's virus definition database in a protected folder on disk, however Cavwp.exe loads the signatures as Global Section Objects with no ACLs, allowing any low privileged process to modify them in memory. Modifying this section object essentially modifies the AV definitions interpreted by Cavwp.exe, allowing an attacker to create false positives (arbitrary file quarantine) or simply bypassing AV signatures through deleting/modifying database data.

CVE-2019-3971: Denial of Service (CmdVirth.exe)
This denial of service occurs due to CmdVirth.exe's LPC port named "cmdvrtLPCServerPort". A low privileged process can connect to this port and send an LPC_DATAGRAM, which triggers an Access Violation due to hardcoded NULLs used for a memcpy source address. This results in CmdVirth.exe and it's child svchost instances to terminate.

CVE-2019-3972: Out-of-bounds Read (CmdAgent.exe)
CmdAgent.exe reads from a Section Object named "Global\{2DD3D2AA-C441-4953-ADA1-5B72F58233C4}_CisSharedMemBuff". This is writable by the "Everyone" Window's group. The contents of the memory is a Comodo SharedMemoryDictionary structure, which is attempted to be keyed into and values be read. Modifying this structure data can crash CmdAgent.exe by causing an Out-of-bounds read.

CVE-2019-3973: Out-of-Bounds Write (Cmdguard.sys)
Cmdguard.sys exposes a filter port named "\cmdServicePort". Normally this is only connectable by CmdVirth.exe and has MAX_CONNECTION of 1. A low-privileged process however, can crash CmdVirth.exe to decrease the port's connection count and process hollow a CmdVirth.exe copy with malicious code to obtain a port handle.

źródło - Tenable

[Aby zobaczyć linki, zarejestruj się tutaj]

jak widać mowa jest o dość poważnych lukach - te chyba najbardziej spektakularne to ta pozwalająca w efekcie na wyjście niebezpiecznego pliku z piaskownicy CAV i możliwość zwiększenia uprawnień w systemie (CVE-2019-3969) oraz ta, która może pozwala modyfikować sygnatury AV, co może skutkować fałszywymi wskazaniami lub obejściem sygnaturowej detekcji (CVE-2019-3970).
Luki nie są nowe - zgłoszono je do producenta w połowie kwietnia, ale ze względu na brak łatek lub choćby konkretnej odpowiedzi Comodo na temat projektowanych poprawek i harmonogramu ich wdrażania oraz mało zadowalające tłumaczenia (próbowano częściową wina obarczyć Microsoft), Tenable w końcu postanowiło temat upublicznić.

Cóż...rodzić się mogą pytania o inne produkty zabezpieczające tej firmy i możliwe luki,które w nich są aczkolwiek wciąż niewykryte. Piaskownica Comodo do tej pory uchodziła za bardzo skuteczną i wręcz była domyślnie rozwiązaniem, które stało się bazą niesygnaturowej ochrony...jak jest po tych odkryciach?...zobaczymy, co czas pokaże.

Informacja źródłowa

[Aby zobaczyć linki, zarejestruj się tutaj]

Szczegółowa analiza wykrytych podatności

[Aby zobaczyć linki, zarejestruj się tutaj]