Die Malware-Schutzsoftware von Comodo, genauer Comodo Internet Security Premium, enthält Schwachstellen, durch die Angreifer Schadcode einschleusen und ausführen können. Unklar ist der derzeitige Patch-Status – es scheint, der Hersteller hat zum Meldungszeitpunkt noch kein Update zum Schließen der Lücken parat.

Die Comodo-Software hat einige Fans damit gewonnen, dass die „Antivirus“-Version kostenlos erhältlich ist. Die etwas größere kommerzielle Variante Internet Security Premium 2025 hat ein IT-Sicherheitsforscher genauer unter die Lupe genommen – und dabei haarsträubende Fehler entdeckt.

Comodo: Zwei kritische Sicherheitslücken

Comodos Update-Server halten in der Datei „cis_update_x64.xml“ Metadaten von Binärdateien für Software-Updates vor. Die Client-Software überprüft die Authentizität und Integrität dieser Datei nicht, sodass Angreifer in einer Man-in-the-Middle-Position – etwa durch eine DNS-Spoofing-Attacke – dadurch bösartige Skripte einschleusen können, die mit SYSTEM-Rechten laufen. (CVE-2025-7096 / EUVD-2025-20153, CVSS 9.2, Risiko „kritisch„). Diese Manifest-Datei kennt einen Tag „exec“, der das Ausühren von Binärdateien mit Parametern erlaubt. Angreifer können beliebige Befehle ausführen lassen, um die Kontrolle zu übernehmen – mit SYSTEM-Rechten (CVE-2025-7097 / EUVD-2025-20157, CVSS 9.2, Risiko „kritisch„).

Die Comodo-Software nutzt den Wert in der Sektion „name“ sowie „folder“ als Download-Dateiname ohne weitere Filterung. Dadurch können Angreifer eine Path-Traversal-Schwachstelle in der Manifest-Datei missbrauchen und damit eine bösartige Datei im Startup-Ordner anlegen lassen; damit können sie nach einem Neustart die Maschine übernehmen (CVE-2025-7098 / EUVD-2025-20155, CVSS 6.3, Risiko „mittel„). Die letzte Schwachstelle betrifft die Verbindung zum Update-Server „download.comodo.com“. Der Comodo-Client prüft das SSL-Zertifikat des Servers nicht, wodurch Angreifer etwa mit einer DNS-Spoofing-Attacke den Traffic auf einen falschen Update-Server unter ihrer Kontrolle umleiten können (CVE-2025-7095 / EUVD-2025-20154, CVSS 6.3, Risiko „mittel„).

Betroffen ist der vollständigen Analyse mit Proof-of-Concept-Exploits zufolge Comodo Internet Security Premium 12.3.4.8162. Diese war zum Zeitpunkt der Dokumentation Mitte Juni mit allen verfügbaren Updates anfällig. Da die kostenlose Antivirus-Software wahrscheinlich denselben Code für Updates nutzt, dürfte sie ebenfalls verwundbar sein. Der IT-Forscher hat Comodo kontaktiert, jedoch keinerlei Rückmeldung erhalten.

Auch auf unsere Anfrage steht eine Antwort derzeit noch aus. Es ist wahrscheinlich, dass noch keine Updates verfügbar sind, die die Sicherheitslücken schließen.

Virenscanner weisen häufiger Schwachstellen auf, durch die sie eher zur Gefahr werden, anstatt vor solchen zu schützen. So wurde etwa Mitte Juni bekannt, dass der Virenschutz von Trend Micro löchrig war und damit PCs gefährdet hat.

(dmk)

Solche Nachrichten sieht man eher selten auf Darknet-Webseiten von kriminellen Banden: „Nach sorgsamer Abwägung und im Lichte jüngster Entwicklungen haben wir entschieden, das Hunters International-Projekt einzustellen“. Das schreibt die Ransomwaregruppe auf ihrem Darknet-Auftritt.

Der ist weitgehend leergeräumt. Informationen zu Unternehmen, bei denen die Kriminellen eingebrochen sind und von denen sie Daten entwendet haben, finden sich nicht mehr auf der Darknet-Webseite.

„Keine leichte Entscheidung“

„Diese Entscheidung haben wir nicht leichtfertig getroffen, und wir erkennen den Einfluss an, den sie auf Organisationen hat, mit denen wir interagiert haben“, schreiben die Cybergangster weiter. Wo sonst Strafverfolger nach dem Ausheben von Cybergangs deren Decryptoren zum Enschlüsseln von mit Ransomware verschlüsselten Daten veröffentlichen, wollen Hunters International den eigenen Angaben nach nun „als Geste des guten Willens und zum Helfen derjenigen, die von unseren früheren Aktivitäten betroffen sind, kostenlose Decryptor-Software für alle Unternehmen anbieten, die von unserer Ransomware betroffen sind“.

Die Täter schreiben weiter: „Unser Ziel ist es, sicherzustellen, dass Sie ihre verschlüsselten Daten wiederherstellen können, ohne die Last der Zahlung eines Lösegelds“. Der poliert klingende Text geht weiter mit: „Wir verstehen die Herausforderungen, die Ransomware-Angriffe darstellen, und hoffen, dass diese Initiative Ihnen hilft, schnell und effizient wieder Zugriff auf Ihre kritischen Informationen zu erlangen.“

Um Zugriff auf die Decryption-Tools und Anleitung zum Wiederherstellungsprozess zu erhalten, sollen Betroffene die offizielle Webseite besuchen. „Wir danken Ihnen für Ihr Verständnis und Ihre Mitarbeit während dieser Übergangsphase. Unser Engagement für die Unterstützung der betroffenen Organisationen bleibt auch nach Abschluss unserer Tätigkeit unsere Priorität“, schließen die Cyberkriminellen.

Auf der Darknet-Webseite, die vermutlich als offizielle Webseite der Hunters International gilt, finden sich derzeit jedoch keine weiteren Informationen oder Dateien. Unklar ist auch die Motivation zu diesem Schritt – möglicherweise wähnen sich die Täter bereits im Visier von Strafverfolgern und wollen so präventiv ein potenziell milderes Strafmaß erreichen.

Hunters International hatte einige namhafte Opfer gefunden. Mitte vergangenen Jahres gelang es der kriminellen Vereinigung offenbar, beim US Marshals Service (USMS) 380 GByte an Daten zu entwenden. Daran war eine Lösegeldzahlung in unbekannter Höhe geknüpft.

(dmk)

Dells Backuplösung Data Protection Advisor ist verwundbar. In einer aktuellen Version haben die Entwickler reihenweise Sicherheitslücken geschlossen. Auffällig ist, dass sie zum Teil zwölf Jahre alte Schwachstellen geschlossen haben. Warum das erst jetzt passiert, ist bislang unklar.

Sicherheitsupdate verfügbar

Viele Lücken betreffen Komponenten der Backuplösung wie Apache HttpClient, OpenSSL und SQLite. Die Anwendung ist aber auch direkt betroffen. Sind Attacken erfolgreich, können Angreifer in den meisten Fällen Denial-of-Service-Attacken (DoS) ausführen, was zu Abstürzen führt (etwa CVE-2016-0705 / EUVD-2016-0740, CVSS 9.8, Risiko „kritisch„; CVE-2021-46877 / EUVD-2023-0856, CVSS 7.5, Risiko „hoch„).

In der Warnmeldung zu den Lücken gibt es derzeit keine Informationen, wie Attacken ablaufen könnten und ob es bereits Angriffe gibt. Die Entwickler versichern, die Sicherheitsprobleme in der Ausgabe 19.12 Service Pack 1 gelöst zu haben. Admins sollten sicherstellen, dass ihre Systeme auf dem aktuellen Stand sind.

In der vergangenen Woche hatte Dell mit Sicherheitslücken in Secure Connect Gateway zu tun. Sie gefährdeten den Remote-IT-Support.

(des)