Comodo Antivirus Soporte Técnico característica permite que nadie se conecte a su PC

Google Project Zero investigador de seguridad Tavis Ormandy ha descubierto que una de las herramientas de soporte técnico de Comodo llenas de muchos de los productos de seguridad de la compañía deja la puerta abierta para que los atacantes se conectan con privilegios de administrador en el PC del usuario.

Ormandy se dio cuenta de usuarios que se quejan en línea acerca de un servidor VNC que se inició en sus sistemas Windows donde se instalan Comodo Antivirus, Comodo Firewall, o Comodo Internet Security."Herramienta de soporte técnico Comodo en el núcleo del problema"
El investigador investigó la cuestión y descubrió que el culpable de este problema era una herramienta de escritorio remoto llamado GeekBuddy, que Comodo fue empaquetado con su software de seguridad.
GeekBuddy fue utilizado por su personal de soporte técnico para depurar los equipos problemáticos desde lejos. El personal Comodo aplicación permitida para conectarse desde lugares remotos mediante la apertura de un servidor VNC en el PC del usuario.
Si el usuario se conecta a Internet, cualquier persona podría acceder al ordenador del usuario mediante esta puerta trasera. Si el equipo estaba fuera de línea, cualquier persona podría hacer lo mismo desde una red local."Versiones GeekBuddy tenían ninguna contraseña, o se utilizan uno débil"
En las primeras iteraciones de GeekBuddy, la herramienta ni siquiera incluye una contraseña, es decir, cualquiera podría simplemente conectarse al PC de la víctima utilizando una IP: combinación de puerto.
Los usuarios se quejaron de este problema, y ​​en versiones posteriores GeekBuddy, Comodo introducen una contraseña. El investigador Google dice que esta contraseña es fácil de adivinar, que se compone de los datos almacenados en el registro de Windows de cada equipo.
"La contraseña no es más que los 8 primeros caracteres del SHA1 (Disk.Caption + Disk.Signature + + Disk.SerialNumber Disk.TotalTracks)," reveló Ormandy.
Desde Comodo instalado GeekBuddy con privilegios de administrador completos, cualquier atacante se conecta a través de herramientas de soporte de Comodo habría tenido el control total sobre el sistema.
Para probar su punto, Ormandy proporciona un sencillo de tres líneas que explotan descubrió cadena SHA1 de una estación de trabajo, cortar los ocho primeros dígitos, y los suministra al atacante.
El investigador informó Comodo de la cuestión el 19 de enero, y posteriormente puesto en libertad GeekBuddy 4.25.380415.167 para hacer frente a los problemas comunicados.
El Sr. Ormandy había sondeado previamente el software de Comodo cuando se descubrió que el fabricante de antivirus también estaba enviando una versión insegura del navegador Chromium, denominado internamente Chromodo. El Sr. Ormandy es famoso por haber descubierto los problemas de seguridad en muchas empresas de seguridad de alto perfil como Avast, AVG, Malwarebytes, Trend Micro, FireEye, y muchos otros.