Comodo Internet Security 2025 Vulnerabilities Execute Remote Code With SYSTEM Privilege
2025/07/07 CyberSecurityNews — Comodo Internet Security Premium 2025 に、複数の深刻な脆弱性が発見された。この脆弱性を悪用する攻撃者は、悪意の更新パッケージを介して、SYSTEM 権限でリモート・コードを実行し、被害者のシステムを完全に侵害する可能性を持つ。全体で3つの欠陥が存在するが、それらは脆弱性 CVE-2025-7095 として総称されている。この問題を発見したのは、FPT IS Security の研究者たちである。
主なポイント
- Comodo Internet Security Premium 12.3.4.8162 に存在する CVE-2025-7095 は、SYSTEM 権限によるリモート・コード実行を許す。
- 不適切な証明書の検証を突く攻撃者は、DNS スプーフィングを用いて、更新処理を悪意のサーバへとリダイレクトできる。
- 偽の更新マニフェストを利用することで、SYSTEM 権限で任意のコマンドを実行し、バックドアの展開や認証情報の窃取が可能となる。
- パス。トラバーサルの脆弱性により、Windows のスタートアップ・ディレクトリにマルウェアをインストールし、再起動後も永続化させる。
CVE-2025-7095:不適切な証明書検証 (CWE-295)
主要な脆弱性は、Comodo のアップデート・メカニズムにおける不適切な証明書検証 (CWE-295) に起因する。Comodo のアップデートでは、https://download.comodo.com/ への HTTPS 接続が利用されるが、このソフトウェアは SSL 証明書の検証に失敗する。この欠陥を突く攻撃者は、DNS スプーフィングを仕掛けることで、アップデート・トラフィックを悪意のサーバへとリダイレクトできる。
研究者たちが実証したのは、Scapy ライブラリを用いて DNS リダイレクトを実現する、 Python スクリプトによる攻撃の手法である。この攻撃の前提として、download.comodo.com に対する DNS クエリを傍受し、攻撃者が管理する 192.168.58.192 のサーバへとリダイレクトする必要がある。そのため、攻撃者は、被害者のネットワーク上で適切な位置を確保する必要がある。
PoC エクスプロイト・コードには、ネットワーク位置の確立のためのコマンドとしての、sudo arpspoof -i eth0 -t 10.10.14.4 -r 10.10.14.1 などが含まれている。
CVE-2025-7095:データの真正性検証の不十分さ (CWE-345)
2つ目の深刻な脆弱性は、更新マニフェスト・ファイル cis_update_x64.xml における、データの真正性検証の不十分さ (CWE-345) に関連する。
<exec> タグを取り込んだ悪意のマニフェスト・ファイルを作成する攻撃者は、SYSTEM 権限で任意のコマンド実行を達成する。この脆弱性を突く、以下のようなパラメータにより、PowerShell ペイロードの実行が可能になる。
この攻撃により、攻撃者は Metasploit ペイロードを配信し、Comodo のコンテナ化技術を回避することで、永続的なバックドアの構築を可能にする。研究者たちが実証したのは、hashdump モジュール/mimikatz モジュールを用いた、認証情報の収集である。それにより、Windows 管理者アカウントを取り込んだ、パスワード・ハッシュの抽出が可能になるという。
CVE-2025-7095:パストラバーサル (CWE-22)
3つ目の脆弱性は、更新システムのファイル配置メカニズムに存在する、パス・トラバーサル (CWE-22) の問題である。
“../../../ProgramData/Microsoft/Windows/Start Menu/Programs/Startup/” のようなディレクトリ・トラバーサル・シーケンスを用いる攻撃者は、マニフェスト・ファイル内のフォルダ・パラメータを悪用できる。それにより、Windows スタートアップ・ディレクトリに、悪意のファイルをダイレクトに書き込めるようになる。
この攻撃により、Base64 エンコードされた PowerShell リバース・シェルを取り込んだ、バッチ・ファイルがスタートアップ・フォルダに配置され、システム再起動後も持続的に動作するよう設定される。このペイロードは、初期段階ではユーザー権限で実行されるが、bypassuac_sdclt モジュールなどの UAC バイパス手法を通じて、SYSTEM 権限へとエスカレートする可能性もある。
影響とリスク
一連の脆弱性に対する CVSS 4.0 スコアは 6.3 (Medium) であるが、SYSTEM 権限の取得によるシステム完全侵害の可能性があるため、実際のリスクは極めて深刻である。
| Risk Factors | Details |
| Affected Products | Comodo Internet Security Premium 12.3.4.8162 |
| Impact | Remote code execution with SYSTEM privileges |
| Exploit Prerequisites | Network positioning for DNS spoofing, high attack complexity, remote network access |
| CVSS 4.0 Score | 6.3 (Medium) |
この攻撃の実行には、高度なネットワーク制御が必要とされるため、攻撃の複雑さは “High” と評価されている。しかし、エクスプロイトが成功すれば、標的システムに対する完全な管理者権限を得ることが可能である。
この脆弱性の公開に対して、Comodo は公式に対応していない。したがってユーザーは、パッチが提供されるまでの間に、ネットワーク・レベルでの防御対策を講じ、不審な更新アクティビティの監視を徹底する必要がある。
Comodo Internet Security Premium に、深刻な脆弱性が見つかりました。全体で3つの欠陥がありますが、CVE-2025-7095 として総称されるようです。セキュリティ・ソフトを攻撃経路とする脅威アクターは、更新機能を悪用し、SYSTEM 権限で任意コードを実行できるため、影響は極めて重大だと、この記事は指摘しています。PoC も提供されていますので、ご利用のチームは、十分に ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.