Защита ПК! Форум.

Защита компьютера от вирусов

Партнеры

Создать форум

Кто сейчас на форуме

Сейчас посетителей на форуме: 1, из них зарегистрированных: 0, скрытых: 0 и гостей: 1

Нет


[ Посмотреть весь список ]


Больше всего посетителей (120) здесь было Ср Авг 02, 2017 2:06 pm

RSS-каналы


Yahoo! 
MSN 
AOL 
Netvibes 
Bloglines 

    Продукты Comodo устанавливают на ПК пользователя опасную утилиту удаленной поддержки

    Поделиться
    avatar
    Admin
    Admin

    Сообщения : 656
    Дата регистрации : 2010-12-25
    Возраст : 50
    Откуда : Киев

    Продукты Comodo устанавливают на ПК пользователя опасную утилиту удаленной поддержки

    Сообщение  Admin в Вс Фев 21, 2016 3:37 am

    Эксперт Google Project Zero Тевис Орманди (Tavis Ormandy) известен тем, что любит находить баги в продуктах разработчиков антивирусных решений. Ранее Орманди уже прошелся по программам компаний Avast, AVG, Malwarebytes, Trend Micro и FireEye. Также Орманди совсем недавно критиковал компанию Comodo за ее «защищенный» браузер. Новое разоблачение исследователя снова касается продуктов Comodo, теперь эксперт обнаружил, что компания устанавливает на компьютеры пользователей VNC-сервер для осуществления удаленной технической поддержки.
    Comodo Internet Security installs a VNC server with predictable password by default. https://t.co/HQXVeKgMLT ¯_(ツ)_/¯
    — Tavis Ormandy (@taviso) February 18, 2016
    Орманди пишет, что вместе с Comodo Antivirus, Comodo Firewall и Comodo Internet Security распространяется программа GeekBuddy. Первыми ее появление заметили сами пользователи, обратившие внимание, что на их машинах появился некий VNC-сервер. Орманди решил заняться расследованием происходящего.
    GeekBuddy – инструмент для удаленного управления рабочим столом. Сотрудники Comodo используют данное приложение для оказания удаленной технической поддержки пользователям. Но Орманди пишет, что GeekBuddy, по сути, является опасным бэкдором, который можно эксплуатировать с недобрыми намерениями.
    Орманди не преувеличивает. Первая версия GeekBuddy вообще не требовала никакого пароля. Получить удаленный доступ к ПК пользователя мог любой желающий, достаточно было подобрать верное сочетание IP:port. Более новые версии приложения уже защищены паролем, однако эксперт пишет, что этот пароль ненадежен и его крайне легко узнать, скомпрометировав данные, хранящиеся в реестре Windows.
    «Пароль – это просто первые 8 символов SHA1 (Disk.Caption + Disk.Signature + Disk.SerialNumber + Disk.TotalTracks)», — объясняет эксперт.
    Так как GeekBuddy устанавливается с полными привилегиями администратора, атакующий, подключившийся к машине жертвы через данное приложение, получит абсолютный контроль над системой.
    Орманди опубликовал простой эксплоит из трех строк, позволяющий извлечь SHA1 машины жертвы, вырезать первые 8 символов и передать их атакующему.
    Еще в январе 2016 года эксперт сообщил о проблеме разработчикам Comodo, и на днях компания устранила баг, выпустив GeekBuddy 4.25.380415.167.

      Текущее время Сб Ноя 17, 2018 7:26 am

      Яндекс.Метрика