详细内容或原文请订阅后点击阅览
ComoDoS - 利用 Comodo Internet Security 中的远程内核漏洞
有时防火墙会阻止攻击者,有时攻击者会阻止防火墙。分析 Comodo Internet Security 防火墙驱动程序中的零日漏洞。
来源:MalwareTech注意:在发布本文时,该漏洞仍是零日漏洞。
我已向 Comodo 安全团队提交了完整的报告、根本原因分析、补丁建议和概念验证。尽管如此,我还是没有得到任何回应。我跟进了两次,我最近的一封电子邮件只是要求确认他们收到了我的报告,但只是无线电静默。
鉴于该公司没有错误赏金计划,我只能花费大量的免费精力来尝试追赶不想联系的供应商。如果他们想解决这个问题,他们就可以,无论我是否发布相关帖子。此外,ZDI 的帖子称,他们花了近 2 年的时间试图让供应商修补漏洞,但没有成功。
虽然该漏洞可用于远程触发 Windows 内核中的越界 (OOB) 读取和越界写入,但这两个原语的限制使我相信该错误不太可能被武器化为 RCE。
然而,该错误确实使您能够使用单个 TCP/IP 数据包远程崩溃目标系统,即使防火墙配置为阻止所有端口也是如此。
从 BYOVD 研究到远程内核利用
两个月前,我开始构建一个自主系统,用于查找第 3 方 Windows 内核驱动程序中的本地权限提升漏洞。由于法学硕士非常擅长找到容易被威胁行为者武器化以进行 BYOVD 攻击的类型,因此我认为这将是完美的用例。我的目标是构建一个系统,为我在 Expel 从事 MDR 工作的日常工作先发制人地阻止零日漏洞利用。
尽管我的人工智能系统只擅长发现相当明显的漏洞,但我对它标记网络安全供应商的驱动程序的频率感到惊讶,尤其是那些属于防病毒/防火墙供应商的驱动程序。有点讽刺的是,您可能通过使用安全产品自己的驱动程序进行权限升级来绕过安全产品。