Wiele podatności w Comodo AV/Comodo AV Advanced
#1
[Obrazek: 0*vnte4nbVmperyqe0]

Comodo to niezwykle popularny program antywirusowy nie tylko w naszym kraju...ma rzesze fanów i pewnie niemal tyle samo krytyków lub przeciwników nawet...ale to nie miejsce, by to rozwijać Smile W każdym razie kilka dni temu na blogu firmy Tenable (to firma, która rozwija najbardziej znany skaner podatności pod nazwą Nessus) ukazało się zgłoszenie o wykryciu w programach Comodo AV/Comodo AV Advanced 5 luk bezpieczeństwa

Cytat:Synopsis
Multiple vulnerabilities were discovered in Comodo Antivirus / Comodo Antivirus Advanced. The following vulnerabilities were verified to be present in version 12.0.0.6810 of Comodo Antivirus, except CVE-2019-3973, which only affects versions up to 11.0.0.6582.

CVE-2019-3969: Local Privilege Escalation (CmdAgent.exe)
CmdAgent.exe verifies COM clients requesting interfaces from Cmdagent.exe are signed binaries. An attacker can bypass this signing check however by changing the client's process name within it's PEB (Process Environment Block), or process hollowing a Comodo/Microsoft signed processes with malicious code.
(...)

CVE-2019-3970: Arbitrary File Write (Modification of AV Signatures)
Comodo keeps it's virus definition database in a protected folder on disk, however Cavwp.exe loads the signatures as Global Section Objects with no ACLs, allowing any low privileged process to modify them in memory. Modifying this section object essentially modifies the AV definitions interpreted by Cavwp.exe, allowing an attacker to create false positives (arbitrary file quarantine) or simply bypassing AV signatures through deleting/modifying database data.

CVE-2019-3971: Denial of Service (CmdVirth.exe)
This denial of service occurs due to CmdVirth.exe's LPC port named "cmdvrtLPCServerPort". A low privileged process can connect to this port and send an LPC_DATAGRAM, which triggers an Access Violation due to hardcoded NULLs used for a memcpy source address. This results in CmdVirth.exe and it's child svchost instances to terminate.

CVE-2019-3972: Out-of-bounds Read (CmdAgent.exe)
CmdAgent.exe reads from a Section Object named "Global\{2DD3D2AA-C441-4953-ADA1-5B72F58233C4}_CisSharedMemBuff". This is writable by the "Everyone" Window's group. The contents of the memory is a Comodo SharedMemoryDictionary structure, which is attempted to be keyed into and values be read. Modifying this structure data can crash CmdAgent.exe by causing an Out-of-bounds read.

CVE-2019-3973: Out-of-Bounds Write (Cmdguard.sys)
Cmdguard.sys exposes a filter port named "\cmdServicePort". Normally this is only connectable by CmdVirth.exe and has MAX_CONNECTION of 1. A low-privileged process however, can crash CmdVirth.exe to decrease the port's connection count and process hollow a CmdVirth.exe copy with malicious code to obtain a port handle.

źródło - Tenable
https://www.tenable.com/security/research/tra-2019-34

jak widać mowa jest o dość poważnych lukach - te chyba najbardziej spektakularne to ta pozwalająca w efekcie na wyjście niebezpiecznego pliku z piaskownicy CAV i możliwość zwiększenia uprawnień w systemie (CVE-2019-3969) oraz ta, która może pozwala modyfikować sygnatury AV, co może skutkować fałszywymi wskazaniami lub obejściem sygnaturowej detekcji (CVE-2019-3970).
Luki nie są nowe - zgłoszono je do producenta w połowie kwietnia, ale ze względu na brak łatek lub choćby konkretnej odpowiedzi Comodo na temat projektowanych poprawek i harmonogramu ich wdrażania oraz mało zadowalające tłumaczenia (próbowano częściową wina obarczyć Microsoft), Tenable w końcu postanowiło temat upublicznić.

Cóż...rodzić się mogą pytania o inne produkty zabezpieczające tej firmy i możliwe luki,które w nich są aczkolwiek wciąż niewykryte. Piaskownica Comodo do tej pory uchodziła za bardzo skuteczną i wręcz była domyślnie rozwiązaniem, które stało się bazą niesygnaturowej ochrony...jak jest po tych odkryciach?...zobaczymy, co czas pokaże.

Informacja źródłowa
https://www.securityweek.com/several-vul...-antivirus
Szczegółowa analiza wykrytych podatności
https://medium.com/tenable-techblog/como...a34cc85e67
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#2
Nie żebym miał coś do Comodo - dawno nic od nich nie używałem więc nie mi oceniać.
Najważniejsze jednak: taki przypadek i podobne pokazują, że naprawdę warto się kilka razy zastanowić zanim... zainstalujemy jakieś dodatkowe oprogramowanie zabezpieczające. Ono też ma luki, idealne nie jest żadne. Może więc zamiast je sobie dokładać, lepiej wykorzystać mechanizmy które mamy już w systemie? Tym bardziej, że ostatnich latach akurat na tej płaszczyźnie Microsoft pewne dobre kroki poczynił - sam bym do Windowsa nie wrócił, jak już to przesiadka na Linuksa, no ale jak ktoś korzysta, to od dawna nie polecam antywirusów.
Nadzieja jest w zwycięstwie
Odpowiedz
#3
Myślę, że nie istnieje oprogramowanie, które nie miałoby luki bezpieczeństwa bo patrząc na obecny nacisk na szkło w tworzeniu co krok nowszej wersji (aby się jeszcze bardziej nachapać) nie jest to po prostu możliwe - programista to tylko niestety człowiek.
Natomiast takie publiczne ogłaszanie i opisywanie dziur w programach moim zdaniem także nie jest ok. Wcześniej o luce wiedział od "nikt" do "waska grupa potencjalnych szkodników". Nagle wiedza, która była bardzo wybiórcza staje się ogólnie dostępną listą luk w oprogramowaniu. I co ma zrobić końcowy klient, który nabył taki pakiet? Reklamować u producenta? Może ten się zlituje i coś tam poprawi.
Odpowiedz
#4
Klient może np. oceniać reakcję producenta na zgłoszenie. Jeżeli producent naprawi lukę przed ogłoszeniem podatności, to znaczy, że go to interesuje i inwestuje w siły i środki na zabezpieczenie własnego programu. Jeżeli luki nie naprawi, albo w ogóle zignoruje badaczy, jak tutaj, to coś już jest nie tak... Są jeszcze skrajne przypadki, gdzie producent od dawna wie o błędzie i go ukrywa, czytałem nawet o przypadkach szantażowania badaczy i dziennikarzy, żeby luki nie ujawniali - wtedy bym z danego produktu zrezygnował, bo to znaczy, że mają dziurawe oprogramowanie i ani trochę im nie zależy na naprawie.

W przypadku Comodo mieli już większe wpadki - przypominam o używaniu OCR do sprawdzania podpisów przy wydawaniu certyfikatów sprzed trzech lat B) niepokoi fakt, że tutaj nawet nie raczyli autorom odpisać - w tak dużym korpo to się może zdarzyć, aaale jednak. Publikacja zwiększa szansę, że ktoś się tym zajmie w firmie.
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Odpowiedz
#5
(26.07.2019, 12:06)M'cin napisał(a): Klient może np. oceniać reakcję producenta na zgłoszenie. Jeżeli producent naprawi lukę przed ogłoszeniem podatności, to znaczy, że go to interesuje i inwestuje w siły i środki na zabezpieczenie własnego programu. Jeżeli luki nie naprawi, albo w ogóle zignoruje badaczy, jak tutaj, to coś już jest nie tak... Są jeszcze skrajne przypadki, gdzie producent od dawna wie o błędzie i go ukrywa, czytałem nawet o przypadkach szantażowania badaczy i dziennikarzy, żeby luki nie ujawniali - wtedy bym z danego produktu zrezygnował, bo to znaczy, że mają dziurawe oprogramowanie i ani trochę im nie zależy na naprawie.

W przypadku Comodo mieli już większe wpadki - przypominam o używaniu OCR do sprawdzania podpisów przy wydawaniu certyfikatów sprzed trzech lat B) niepokoi fakt, że tutaj nawet nie raczyli autorom odpisać - w tak dużym korpo to się może zdarzyć, aaale jednak. Publikacja zwiększa szansę, że ktoś się tym zajmie w firmie.

Jest jeszcze wiele możliwości. Jeśli oprogramowanie nie jest konieczne (np odczyt jakiegoś formatu pliku, który tylko ten program umie czytać) to można odinstalować. Jeśli jest konieczne to można uruchomić je np w odizolowanej od sieci maszynie wirtualnej. Czasem wystarczy wyłączyć jakąś opcję w programie, by nie można było wykorzystać podatności.



(24.07.2019, 19:38)lukasamd napisał(a): Nie żebym miał coś do Comodo - dawno nic od nich nie używałem więc nie mi oceniać.
Najważniejsze jednak: taki przypadek i podobne pokazują, że naprawdę warto się kilka razy zastanowić zanim... zainstalujemy jakieś dodatkowe oprogramowanie zabezpieczające. Ono też ma luki, idealne nie jest żadne. Może więc zamiast je sobie dokładać, lepiej wykorzystać mechanizmy które mamy już w systemie? Tym bardziej, że ostatnich latach akurat na tej płaszczyźnie Microsoft pewne dobre kroki poczynił - sam bym do Windowsa nie wrócił, jak już to przesiadka na Linuksa, no ale jak ktoś korzysta, to od dawna nie polecam antywirusów.

Z oprogramowaniem antywirusowym jest jeszcze ten problem, że producenci nie odrobili lekcji i nie używają dobrych praktyk podczas ich pisania. Np procesy parsujące niezaufane pliki działają na wysokich uprawnieniach typu konto SYSTEM. Taka przeglądarka Chrome albo serwer OpenSSH używają separacji pomiędzy procesami, obniżania uprawnień, a AV nie.
Odpowiedz
#6
(26.07.2019, 13:59)bluszcz napisał(a): Jest jeszcze wiele możliwości. Jeśli oprogramowanie nie jest konieczne (np odczyt jakiegoś formatu pliku, który tylko ten program umie czytać) to można odinstalować. Jeśli jest konieczne to można uruchomić je np w odizolowanej od sieci maszynie wirtualnej. Czasem wystarczy wyłączyć jakąś opcję w programie, by nie można było wykorzystać podatności.
W bardzo szerokim rozrachunku - tak. tutaj skoncentrujmy się jednak na oprogramowaniu zabezpieczającym, które zainstalowane na VM czy odpalone w piaskownicy trochę nie ma sensu Wink
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Odpowiedz
#7
(26.07.2019, 15:17)M'cin napisał(a):
(26.07.2019, 13:59)bluszcz napisał(a): Jest jeszcze wiele możliwości. Jeśli oprogramowanie nie jest konieczne (np odczyt jakiegoś formatu pliku, który tylko ten program umie czytać) to można odinstalować. Jeśli jest konieczne to można uruchomić je np w odizolowanej od sieci maszynie wirtualnej. Czasem wystarczy wyłączyć jakąś opcję w programie, by nie można było wykorzystać podatności.
W bardzo szerokim rozrachunku - tak. tutaj skoncentrujmy się jednak na oprogramowaniu zabezpieczającym, które zainstalowane na VM czy odpalone w piaskownicy trochę nie ma sensu Wink

Ja bym je uznał jako "nie jest konieczne" i po prostu odinstalował, o ile producent nie załata luk i nie podejmie środków, by w przyszłości nie było tak łatwo zaatakował tego oprogramowania.
Odpowiedz
#8
(26.07.2019, 12:06)M\cin napisał(a): W przypadku Comodo mieli już większe wpadki - przypominam o używaniu OCR do sprawdzania podpisów przy wydawaniu certyfikatów sprzed trzech lat B) niepokoi fakt, że tutaj nawet nie raczyli autorom odpisać - w tak dużym korpo to się może zdarzyć, aaale jednak. Publikacja zwiększa szansę, że ktoś się tym zajmie w firmie.
Publikowanie dziur może i ma szansę zmobilizowania producenta do ich załatania jednak działa również na niekorzyść samych użytkowników - im więcej osób wie o podatnościach (przed publikacją wie o nich wąskie grono bądź jedynie grupa, która robiła testy i wykryła podatności) tym większe prawdopodobieństwo na powstanie exploitów o szerokim zasięgu działania.
Zaryzykowałbym stwierdzenie, że taka działalność niestety szkodzi bardziej użytkownikom końcowym niż pomaga.
Odpowiedz
#9
(29.07.2019, 13:25)wredniak napisał(a):
(26.07.2019, 12:06)M\cin napisał(a): W przypadku Comodo mieli już większe wpadki - przypominam o używaniu OCR do sprawdzania podpisów przy wydawaniu certyfikatów sprzed trzech lat B) niepokoi fakt, że tutaj nawet nie raczyli autorom odpisać - w tak dużym korpo to się może zdarzyć, aaale jednak. Publikacja zwiększa szansę, że ktoś się tym zajmie w firmie.
Publikowanie dziur może i ma szansę zmobilizowania producenta do ich załatania jednak działa również na niekorzyść samych użytkowników - im więcej osób wie o podatnościach (przed publikacją wie o nich wąskie grono bądź jedynie grupa, która robiła testy i wykryła podatności) tym większe prawdopodobieństwo na powstanie exploitów o szerokim zasięgu działania.
Zaryzykowałbym stwierdzenie, że taka działalność niestety szkodzi bardziej użytkownikom końcowym niż pomaga.

Pomyśl, co by było, gdyby ich nie można publikować. Takich exploitów znanych w "wąskim" gronie byłoby coraz więcej i więcej. Zresztą wąskie grono znając kilka podatności i umiejąc napisać exploity mogłoby zainfekować w pewnych przypadkach w ciągu godzin miliony komputerów. A producenci nie mając powodu nie utrzymywaliby oddzielnych zespołów bezpieczników i w takiej sytuacji łatanie lub chociaż mitigation (nie wiem jakie polskie słowo temu odpowiada - sugestie mile widziane) nie zajęłoby godzin, tylko pewnie by na początku próbowano standardowych procedur łatania bugów i trwałoby rząd wielkości dłużej.
Odpowiedz
#10
A jak do tego wszystkiego ma się Comodo Secure Shopping ?. Też może mieć luki ?
Odpowiedz
#11
Jak podaje avlab 


Cytat:Nie zgłoszono żadnych incydentów wykorzystujących którąkolwiek z tych luk, ani żadnych klientów zgłaszających nam związane z tym problemy. Zespół produktów Comodo pilnie pracuje nad rozwiązaniem wszystkich luk w zabezpieczeniach, a wszystkie poprawki zostaną wydane do poniedziałku 29 lipca.
Odpowiedz
#12
Yhy...

Kod:
Changes comparing to previous release 12.0.0.6870

New
Added support of Chrome 76 for web-filtering

Fixed
Vulnerabilities reported by Tenable https://www.tenable.com/security/research/tra-2019-34
CVE-2019-3969, CVE-2019-3970, CVE-2019-3971, CVE-2019-3972, CVE-2019-3973
Crashes of cavwp.exe

Please note, this release has been rolled out for new users.
We shall be rolling out updates for existing users over the next few weeks.

Thanks,
Comodo Internet Security Team.
Odpowiedz




Użytkownicy przeglądający ten wątek: 1 gości