近日,安全研究人员披露Comodo Internet Security Premium 2025(版本 12.3.4.8162) 存在多个关键级别安全漏洞,攻击者可通过伪造更新包实现远程代码执行(RCE)并获取SYSTEM权限,最终完全控制受害者系统。
本次漏洞已被归为统一编号 CVE-2025-7095,由 FPT IS Security 团队发现。
关键风险概览:
-
CVE-2025-7095:远程攻击者可通过软件更新机制实现SYSTEM权限的代码执行。
-
证书校验不当(CWE-295):攻击者可利用DNS欺骗将更新请求重定向至恶意服务器。
-
更新清单伪造(CWE-345):可嵌入恶意命令,执行持久化后门并窃取凭据。
-
路径遍历漏洞(CWE-22):恶意文件可被写入Windows启动目录,实现跨重启持久驻留。
漏洞细节解析:
证书校验缺陷(CWE-295)
Comodo 虽然通过 HTTPS 连接 https://download.comodo.com/ 进行更新,但其并未正确校验证书有效性,导致攻击者可通过 DNS Spoofing 重定向更新流量至恶意服务器。
研究人员使用 Scapy 工具构造了Python脚本完成DNS欺骗。
攻击流程包括:
-
拦截目标机器的 DNS 请求;
-
将
download.comodo.com定向至攻击者服务器(如192.168.58.192); -
利用如
sudo arpspoof -i eth0 -t 10.10.14.4 -r 10.10.14.1实现网络中间人定位; -
伪造更新响应,投送恶意代码。
更新清单验证不足(CWE-345)
Comodo 的更新系统会处理名为 cis_update_x64.xml 的清单文件,该文件中 <exec> 标签的命令将以 SYSTEM权限 被执行。
攻击者可通过 PowerShell 语句植入 Metasploit Payload,并使用 hashdump 与 mimikatz 等模块提取系统中的敏感账号密码。
路径遍历漏洞(CWE-22)
Comodo 的文件更新机制未正确处理路径参数,攻击者可使用 ../../../ 等目录穿越技巧,将恶意脚本写入Windows启动目录(如 Start Menu\Programs\Startup\)。
研究人员在此路径投放Base64编码的反弹Shell脚本,确保每次系统启动时自动执行。攻击者初期获得用户权限后,可进一步利用 UAC绕过工具(如 bypassuac_sdclt 模块)提升至SYSTEM权限。
风险评级与影响
| 风险项 | 内容说明 |
|---|---|
| 影响产品 | Comodo Internet Security Premium v12.3.4.8162 |
| 核心危害 | 远程代码执行(RCE)+ SYSTEM权限控制 |
| 漏洞评分 | CVSS v4.0 分数:6.3(中危,但实际危害极高) |
| 利用前提 | 攻击者需具备网络位置控制能力(如DNS欺骗) |
尽管评分为中等,但由于该漏洞链一旦被利用可实现完整系统接管,危害程度实质已达高危级别。
官方响应与安全建议
截至目前,Comodo 官方尚未对漏洞披露作出回应。
在补丁发布前,建议用户采取以下防护措施:
-
在网络层面封锁对
download.comodo.com的DNS可疑重定向; -
加强网络边界监测,尤其关注更新流量中的异常请求;
-
禁用或限制自动更新功能,等待官方确认补丁;
-
使用IPS/IDS监控DNS和ARP欺骗行为。
该漏洞再次提醒用户,安全软件自身更新机制的完整性与信任链构建,同样是企业防护体系中不可忽视的一环。
发表评论
您还未登录,请先登录。
登录