Comodo杀毒软件爆多个漏洞

ang010ela 新闻 2019年7月25日发布
Favorite收藏

导语:研究人员发现Comodo杀毒软件爆多个CVE漏洞,本文进行分析。

Comodo是一家位于美国的软件公司,总部设在新泽西州泽西城,成立于1998年,是世界著名的IT安全服务提供商和SSL证书的供应商之一。

研究人员在Comodo Antivirus / Comodo Antivirus Advanced等产品中发现多个漏洞,CVE编号为CVE-2019-3969、CVE-2019-3970、CVE-2019-3971、CVE-2019-3972、CVE-2019-3973。除CVE-2019-3973只影响11.0.0.6582及低版本外,其他漏洞都影响至12.0.0.6810版本。

CVE-2019-3969:  CmdAgent.exe本地权限提升漏洞

CmdAgent.exe验证来自Cmdagent.exe的请求接口的COM客户端使用的是签名的二进制文件。攻击者可以通过修改PEB(Process Environment Block)中客户端的进程名或用恶意代码来process hollowing一个Comodo/Microsoft签名进程来绕过签名检查机制。这是因为CmdAgent的签名检查机制使用的来自COM客户端PID的EnumProcessModules / GetModuleFilename。只要通过可信的二进制文件检查,攻击者就可以获取IServiceProvider的实例。有了IServiceProvider,攻击者就可以查询到SvcRegKey 的接口通过Out-Of-Proc COM服务器来进行注册表表操作,以完成本地权限itself。

comodo antivirus flaw

关于CVE-2019-3969漏洞的更多细节参见:https://medium.com/tenable-techblog/comodo-from-sandbox-to-system-cve-2019-3969-b6a34cc85e67

CVE-2019-3970: 任意文件写漏洞(修改AV签名)

Comodo将病毒定义数据库(virus definition database)保存在硬盘的受保护文件夹中,但Cavwp.exe可以以没有ACL的Global Section Objects来加载签名,允许低权限的进程在内存中进行修改。修改这一section object会修改Cavwp.exe翻译的AV定义,攻击者就可以创建假阳性结果或通过删除或修改数据库数据来绕过AV签名。

CVE-2019-3971: DoS (CmdVirth.exe)

DoS攻击发生在CmdVirth.exe的LPC端口cmdvrtLPCServerPort处。低权限的进程可以连接到该端口并发送LPC_DATAGRAM,由于用于memcpy source address(内存复制源地址)硬编码为NULL,因此会触发Access Violation。最终导致CmdVirth.exe和其子svchost实例终止。

CVE-2019-3972:越界读漏洞(CmdAgent.exe)

CmdAgent.exe会从名为"Global\{2DD3D2AA-C441-4953-ADA1-5B72F58233C4}_CisSharedMemBuff"的Section Object读取内容,这是everyone都可以写的Windows组。内存的内容为Comodo SharedMemoryDictionary结构。修改该结构数据会引发越界读,最终导致CmdAgent.exe奔溃。

CVE-2019-3973: 越界写漏洞(Cmdguard.sys)

Cmdguard.sys会暴露一个名为\cmdServicePort的过滤端口。一般来说只有CmdVirth.exe可以连接,而且MAX_CONNECTION(最大连接数)为1。但低权限的进程可以使CmdVirth.exe奔溃来减少端口的连接数,然后用恶意代码来process hollow一个CmdVirth.exe的副本来获取port handle。如果这些都发生了,然后用filtersendmessage API来发送一个精心伪造的消息给cmdServicePort,如果lpOutBuffer参数接近缓存边界,那么就会触发越界写漏洞。利用一个小的dwOutBufferSize(在lpOutBuffer边界范围内)就可以绕过ProbeForWrite检查,然后执行memset操作,将提供的地址设置为超出lpOutBuffer边界的0x734字节就会导致kernel crash。

目前Comodo还没有发布任何关于这些漏洞的补丁。

PoC

PoC代码见:https://github.com/tenable/poc/tree/master/Comodo

本文翻译自:https://www.tenable.com/security/research/tra-2019-34如若转载,请注明原文地址: https://www.4hou.com/info/news/19394.html
点赞 3
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论