Comodo Internet Security Proof of Conecpt für Comodo-Schwachstelle – ohne Patch

Anbieter zum Thema

Fsas Technologies GmbH

SEPPmail - Deutschland GmbH

FTAPI Software GmbH

Ein vietnamesischer Forscher veröffentlicht eine detaillierte Angriffskette gegen Comodo Internet Security, die kritische Sicherheitslücken enthält. Er informiert den Hersteller, doch dieser schweigt und liefert keinen Patch.

Vor wenigen Tagen wurden in den Schwachstellendatenbanken von MITRE, NIST und der EU Berichte über die Sicherheitslücke CVE-2025-7096 / EUVD-2025-20153 veröffentlicht. Zwar liefern die Datenbanken eine Beschreibung der Schwachstelle, mehr Informationen scheint es jedoch nicht zu geben. Keine Informationen zum Patch oder einem Workaround, kein Her­steller-Statement. Lediglich die Verlinkung auf ein Security Advisory, welches in Google Drive hochgeladen wurde, und einen Proof of Concept (PoC) für die Sicherheitslücke enthält.

Sudo

Beliebtes Linux-Tool mit kritischer Schwachstelle

Was ist über die Comodo-Sicherheitslücke bekannt?

CVE-2025-7096 wurde mit einem CVSS Score von 9.2 als kritisch eingestuft und betrifft die Lösung Internet Security Premium 12.3.4.8162 des US-Security-Herstellers Comodo. Eine unbekannte Code-Zeile in der Datei „cis_update_x64.xml“ ist manipulierbar, was zu einer fehlerhaften Validierung des Integritätsprüfwerts führt. Doch in dem Security Advisory geht es nicht nur um diese Sicherheitslücke, sondern es beschreibt eine ganze Exploit-Kette.

Exploit für Cyberangriff verwendet

Zwei kritische Schwachstellen in Foren-Plattform vBulletin

Wir haben mit Sicherheitsforscher Nông Hoàng Tú gesprochen. Er arbeitet bei dem viet­namesischen IT-Unternehmen FPT IS und behauptet, die Sicherheitslücken in der Lösung von Comodo entdeckt zu haben. Die Angriffskette laufe wie folgt ab:

• 1. Initiale Netzwerkmanipulation: Mithilfe der gefundenen Sicherheitslücke CVE-2025-7095 / EUVD-2025-20154 (CVSS Score 6.3) konnte Nông durch Man-in-the-Middle-Techniken (z. B. ARP- oder DNS-Spoofing) den Datenverkehr auf einen gefälschten Update-Server umlenken, da Comodo die HTTPS-Zertifikate beim Update nicht prüft.

• 2. Manipuliertes Update wird akzeptiert: Aufgrund der Schwachstelle CVE-2025-7096 prüft Comodo die Signatur oder Integrität der Update-Manifeste nicht korrekt. Dadurch akzeptiert die Software ein gefälschtes Update vom gefälschten Server als vertrauenswürdig.

• 3. Ausführung von unsignierten Skripten: Obwohl Comodo PE-Dateien wie .exe oder .dll validiert, gilt dies nicht für Skriptdateien, zum Beispiel .bat. Der Forscher konnte also Schadskripte in das Update einbauen, die beim Installieren ausgeführt werden.

• 4. Ausnutzung der Exec-Tags zur Codeausführung: Nông nutzte ein legitimes Feature im Update-Mechanismus mit sogenannten Exec-Tags, mit denen Comodo Betriebssystembefehle ausführen kann. Damit wird bösartiger Code mit NT-SYSTEM-Rechten gestartet. Hierfür wurde die Sicherheitslücke CVE-2025-7097 / EUVD-2025-20157 (CVSS Score 9.2) verwendet.

• 5. Path Traversal für systemweite Manipulationen: Comodo bereinigt oder validiert den Wert von Datei- oder Ordnerpfaden nicht, sodass schädliche Dateien überall im System geschrieben werden können. Dazu diente die Sicherheitslücke CVE-2025-7098 / EUVD-2025-20155 (CVSS Score 6.3).

• 6. Systemkompromittierung: Durch die Kombination der Schwachstellen konnte Nông die vollständige Kontrolle über das System erlangen – mit Systemrechten, außerhalb des normalen Schutzbereichs der Comodo-Software.

„pull_request_target“

Fehleranfällige GitHub-Einstellung führt zu massiver Sicherheitslücke

Kein Patch in Sicht

Nông habe die Sicherheitslücken bereits in der ersten Juni-Woche entdeckt und an VulDB gemeldet. Dies ist eine Crowdsourcing-Datenbank für Schwachstellen und ein beliebtes Werkzeug für die IT-Security-Community. Sicherheitsforscher können entdeckte Software-Fehler dorthin melden, die VulDB agiert in manchen Fällen als CVE Numbering Authority (CNA) oder koopiert mit anderen Behörden, um die gemeldeten Sicherheitslücken schnellstmöglich zu kategorisieren und öffentlich sichtbar zu machen.

In diesem Falle habe VulDB versucht, Comodo zu erreichen, bevor die Schwachstellen publik gemach wurden, doch keine Antwort erhalten. So ist auch kein Sicherheitsupdate des Her­stellers für Internet Security Premium in Sicht. „Comodo-Nutzer können derzeit nur sicher­stellen, dass die Anti-ARP-Spoofing-Funktion in der Comodo-Firewall aktiviert ist“, sagt Nông. „Ich vermute, dass die Version von Comodo Antivirus betroffen sein könnte, habe diese jedoch nicht getestet. Comodo Clean Essentials nutzt eine HTTP-Verbindung, daher besteht ein hohes Risiko, dass auch dieses Toolkit ausgenutzt werden könnte.“

Outsourcing oder Inhouse-Lösung beim Patch Management

Lohnt sich Patch Management as a Service (PMaaS)?

Da nun dieser ausführliche PoC veröffentlicht wurde, können auch Cyberkriminelle sich diesen zu eigen machen. Denn der PoC könnte tatsächlich praktisch anwendbar sein. Doch der EU-VD zufolge ist die Komplexität der Angriffe über die kritischen Schwachstellen CVE-2025-7097 und CVE-2025-7096 hoch. Die Ausnutzung sei bekanntermaßen schwierig. CVE-2025-7097 / EUVD-2025-20157 erhielt nur einen EPSS Score von 0,13 Prozent. Dies spiegelt die Wahr­scheinlichkeit wider, dass die Sicherheitslücke in den nächsten 30 Tagen ausgenutzt wird. Bei CVE-2025-7096 / EUVD-2025-20153 liegt der EPSS Score sogar nur bei 0,02.

Ergänzung oder Alternative zur CVE-Datenbank?

Neue EU-Datenbank für Sicherheitslücken geht an den Start

(ID:50476153)