Comodo Internet Security: 0-Day-Schwachstelle ermöglicht Angreifer Absturz von Windows-Systemen

Marcus Hutchins hat dem Sicherheitsteam ändige Root-Cause-Analyse, Vorschläge für einen Patch sowie einen Proof-of-Concept (PoC) übermittelt, erhielt jedoch keinerlei Bestätigung. Comodo Internet Security 0-Day Vulnerability Der Fehler befindet sich im IPv6-Header-Parser.

IPv6-Pakete unterstützen optionale „Extension Headers", die zwischen dem festen 40-Byte-IPv6-Header und dem Protokoll der höheren Schicht (TCP, UDP usw.) angehängt werden.

Der Parser durchläuft diese Erweiterungshköpfe und subtrahiert bei jedem den Länge des jeweiligen Headers `payload_length`, die direkt aus dem vom Angreifer gesteuerten IPv6-Festheader abgeleitet wird. Das kritische Problem: Der Code validiert das Feld für die Nutzlastlänge nie.

Wenn ein Angreifer die IPv6-Nutzlastlänge auf

Wenn ein Angreifer die IPv6-Nutzlastlänge auf einen Wert setzt, der kleiner ist als die Gesamtlänge aller Erweiterungshköpfe, unterläuft die 64-Bit-Variablen `payload_length` (unsigned) und läuft auf einen Wert 18,4 Quintillionen (0xFFFFFFFFFFFFFFF8) auf.

Da der Firewall-Treiber TCP/IP-Header vor der Durchsetzung jeglicher Firewall-Regeln parsen muss, erfolgt dieses Parsing unabhängig davon, ob alle Ports blockiert sind. Der resultierende Integer-Underflow führt zu einem Kernel-Absturz (BSOD) und macht dies zu einem zuverlässigen Remote-Denial-of-Service-Primitive.

Der PoC-Exploit ist bemerkenswert kompakt und lässt sich in vier Zeilen Python mit Scapy implementieren: ext = IPv6ExtHdrDestOpt(nh=6, options=[PadN(optdata=b"\x00" * 8)]) tcp = TCP(sport=1337, dport=80, flags="S", seq=0, ack=1, window=0 ×2000) ipv6 = IPv6(dst=dst_ip, nh=60, hlim=64, plen=8) pkt = ipv6 tcp send(pkt) Marcus Hutchins nutzte absichtlich das Destination Options-Erweiterungsheader (Typ 60), da es der geringsten Filterung auf Router-Ebene unterliegt und so die Wahrscheinlichkeit maximiert, dass das bösartige Paket das Internet durchquert und sein Ziel erreicht.

Sicherheitslage und Risiko

Neben dem DoS-Primitive identifizierten Marcus Hutchins erreichbare Pfade für Out-of-Bounds (OOB)-Lesen und -Schreiben, die durch denselben unterlaufenen Wert ausgelöst werden. Beide Primitive unterliegen jedoch erheblichen Exploitationseinschränkungen.

Das OOB-Read findet innerhalb eines WebDAV/HTTP-Artifact-Scanners statt, wobei der Größenwert auf 16 Bit verkürzt wird, was ihn auf 65 KB begrenzt. Ein Page-Fault in diesem Pfad führt zum Absturz des Systems auf DISPATCH_LEVEL.

Der OOB-Write, der erst nach einem vollständigen TCP-Handshake erfolgt, kürzt die unterlaufende Größe auf 32 Bit, wodurch ein Kernel-Pool-Overflow von 4 GB entsteht, der das System mit nahezu sicherer Wahrscheinlichkeit abstürzt.

Moegliche Anwendungen

Da Standard-Netzwerkpakete maximal 65 KB groß sein können, gibt es keine realistische Möglichkeit, den Overflow so stark zu reduzieren, dass ein Absturz verhindert wird; eine Remote Code Execution (RCE) ist daher gegenwärtig höchst unwahrscheinlich.

Die Schwachstelle wurde im Rahmen Typ BYOVD (Bring Your Own Vulnerable Driver) mittels einer KI-gestützten Analyse-Pipeline entdeckt. Während der Prüfung einer älteren Treiberversion architektonische Schwachstellen, die eine manuelle Analyse des aktuellen Treibers motivierten und direkt zu diesem Fund führten.

Ein vollständiger Proof of Concept (PoC) ist öffentlich auf GitHub verfügbar. Organisationen, die auf Comodo Internet Security angewiesen sind, sollten nach anomalem IPv6-Verkehr suchen und als vorläufige Gegenmaßnahme Netzwerkebene-Kontrollen zur Blockierung IPv6-Erweiterungs-Headern in Betracht ziehen, bis ein offizielles Patch verfügbar ist.

Der Beitrag „0-Day-Schwachstelle in Comodo Internet Security ermöglicht Angreifer, das Windows-System des Benutzers zum Absturz zu bringen" erschien erstmals auf Cyber Security News.