近日,安全研究人员披露Comodo Internet Security Premium 2025(版本 12.3.4.8162) 存在多个关键级别安全漏洞,攻击者可通过伪造更新包实现远程代码执行(RCE)并获取SYSTEM权限,最终完全控制受害者系统。
本次漏洞已被归为统一编号 CVE-2025-7095,由 FPT IS Security 团队发现。
关键风险概览:
CVE-2025-7095:远程攻击者可通过软件更新机制实现SYSTEM权限的代码执行。
证书校验不当(CWE-295):攻击者可利用DNS欺骗将更新请求重定向至恶意服务器。
更新清单伪造(CWE-345):可嵌入恶意命令,执行持久化后门并窃取凭据。
路径遍历漏洞(CWE-22):恶意文件可被写入Windows启动目录,实现跨重启持久驻留。
漏洞细节解析:
证书校验缺陷(CWE-295)
Comodo 虽然通过 HTTPS 连接 https://download.comodo.com/ 进行更新,但其并未正确校验证书有效性,导致攻击者可通过 DNS Spoofing 重定向更新流量至恶意服务器。
研究人员使用 Scapy 工具构造了Python脚本完成DNS欺骗。
攻击流程包括:
更新清单验证不足(CWE-345)
Comodo 的更新系统会处理名为 cis_update_x64.xml 的清单文件,该文件中 <exec> 标签的命令将以 SYSTEM权限 被执行。
攻击者可通过 PowerShell 语句植入 Metasploit Payload,并使用 hashdump 与 mimikatz 等模块提取系统中的敏感账号密码。
路径遍历漏洞(CWE-22)
Comodo 的文件更新机制未正确处理路径参数,攻击者可使用 ../../../ 等目录穿越技巧,将恶意脚本写入Windows启动目录(如 Start Menu\Programs\Startup\)。
研究人员在此路径投放Base64编码的反弹Shell脚本,确保每次系统启动时自动执行。攻击者初期获得用户权限后,可进一步利用 UAC绕过工具(如 bypassuac_sdclt 模块)提升至SYSTEM权限。
风险评级与影响
| 风险项 | 内容说明 |
|---|---|
| 影响产品 | Comodo Internet Security Premium v12.3.4.8162 |
| 核心危害 | 远程代码执行(RCE)+ SYSTEM权限控制 |
| 漏洞评分 | CVSS v4.0 分数:6.3(中危,但实际危害极高) |
| 利用前提 | 攻击者需具备网络位置控制能力(如DNS欺骗) |
尽管评分为中等,但由于该漏洞链一旦被利用可实现完整系统接管,危害程度实质已达高危级别。
官方响应与安全建议
截至目前,Comodo 官方尚未对漏洞披露作出回应。
在补丁发布前,建议用户采取以下防护措施:
该漏洞再次提醒用户,安全软件自身更新机制的完整性与信任链构建,同样是企业防护体系中不可忽视的一环。
