Google の Project Zero は、Comodo のインターネット「セキュリティ」ソフトウェアに新たな欠陥を発見した。予測可能なパスワードで VNC サーバーがデフォルトで有効になっているのだ。
今月初め、Google社員のタヴィス・オーマンディ氏は、Comodoのカスタムウェブブラウザ「Chromodo」が、セキュリティ設定のまずさゆえにレースのコンドームと同じくらい危険だと指摘した。そして今、オーマンディ氏は、Comodoのソフトウェアにハッカーにとって理想的なリモートデスクトップツールが含まれていることを発見した。
Windows PC に Comodo Anti-Virus、Comodo Firewall、または Comodo Internet Security をインストールすると、GeekBuddy と呼ばれるプログラムが提供されます。このプログラムを使用すると、Comodo のスタッフはユーザーの PC に対してリモート テクニカル サポートを実行できます (有償)。
GeekBuddyは、管理者レベルの権限を持ち、デフォルトで有効化され、ローカルネットワークに公開されているVNCサーバーをインストールすることでこれを実現します。かつてこのサーバーにはパスワード保護が全くなく、誰でも接続してシステムを乗っ取ることができました。この問題はパスワード保護を有効にすると修正されましたが、Ormandy氏はパスワードが予測可能であることを発見しました。
Comodo のソフトウェアを実行している場合、PC 上のマルウェア、ネットワーク上の悪意のある人物、あるいはインターネット上の誰かが、コンピューターを制御できる可能性があります。
ログインしている一般ユーザー、あるいはシステム上で動作しているソフトウェアは、WindowsレジストリからVNCパスワードを取得し、サーバーに接続することでより高い権限を取得することができました。パスワードは比較的短く、単純で、予測しやすいため、リモート接続者には推測可能です。つまり、PCにはセキュリティスイートによってバックドアが仕掛けられていたのです。
「これは明白かつ馬鹿げたローカル権限の昇格であり、どうやらコモド社はパスワードを空白のままにするのではなく生成することでこの問題を解決したと考えているようだ」とグーグルの情報セキュリティエンジニア、オーマンディ氏は報告した。
「そうではありません。パスワードはSHA1の最初の8文字(ディスク.キャプション+ディスク.署名+ディスク.シリアル番号+ディスク.合計トラック数)だけなのです。Comodoは、パスワード生成方法を確認する人はいないだろうと考えたのでしょう。なぜなら、これでは彼らが解決したと主張する攻撃を明らかに防ぐことができないからです。」
VNC サーバーを使用して calc.exe を開きます...クリックして拡大
オーマンディ氏は1月19日にコモド社にセキュリティ設計上の欠陥を報告した。本日木曜日、同社はグーグルの担当者に対し、この脆弱性は2月10日にリリースされたGeekBuddyのバージョン4.25.380415.167で修正されたと伝えた。ユーザーの90%はすでに自動的にアップデートをインストールしているはずだと伝えられている。®
