CVE-2016-20090: Sårbarhed i Comodo Dragon Browser
Sårbarhed i Comodo Dragon Browser lader lokale brugere overtage din computer med fulde administratorrettigheder.
Hvad er det?
Comodo Dragon Browser version 52.15.25.663 og tidligere indeholder en fejl i opdateringstjenesten DragonUpdater. Problemet skyldes en såkaldt ‘unquoted service path’ (en programsti uden anførselstegn), som Windows fortolker forkert. Det betyder, at en angriber med adgang til computeren kan placere et ondsindet program på et bestemt sted i systemet. Næste gang opdateringstjenesten starter — fx ved genstart — kører Windows automatisk angriberens program med de højeste rettigheder (SYSTEM-niveau). Det svarer til, at nogen låner nøglen til hele huset ved at lægge en falsk nøgle i den rigtige skufferækkefølge.
Hvem rammer det?
Sårbarheden rammer alle virksomheder og brugere, der har Comodo Dragon Browser installeret i version 52.15.25.663 eller ældre. Særligt relevant hvis:
- I bruger Comodo Dragon Browser som standard- eller alternativ-browser på Windows-computere.
- I har medarbejdere med lokal adgang til computeren — fx på delte arbejdspladser eller med fjernadgang (fx via TeamViewer eller RDP).
- Jeres it-opsætning ikke automatisk opdaterer browseren.
Hvad kan ske?
En angriber, der allerede har begrænset adgang til din computer (fx en medarbejder, en gæst eller en hacker der allerede er kommet ind), kan udnytte fejlen til at:
- Overtage hele computeren med de højeste systemrettigheder (SYSTEM).
- Installere malware eller ransomware uden at Windows forsøger at stoppe det.
- Stjæle adgangskoder, filer og fortrolige data gemt på maskinen eller tilgængelige via netværket.
- Deaktivere antivirus og sikkerhedssoftware, fordi angrebet kører med fuld systemadgang.
Angrebet kræver dog, at angriberen allerede har lokal adgang — det kan ikke udføres direkte over internettet.
Hvor alvorligt er det?
Sårbarheden er vurderet til 7.8 ud af 10 (Alvorlig) på den internationale CVSS-skala. Det er høj alvorlighed, fordi angrebet er nemt at udføre (lav kompleksitet, kun begrænsede rettigheder kræves) og giver fuld kontrol over systemet. Det eneste, der reducerer risikoen en smule, er at angriberen skal have fysisk eller fjernadgang til maskinen i forvejen — det kan ikke ske direkte udefra via internettet. I en virksomhed med fælles computere, remote desktop eller utilfredse medarbejdere er dette dog ikke en stor barriere.
Hvad gør jeg nu?
Du bør handle hurtigt. Her er hvad du skal gøre:
- Find ud af, om I bruger Comodo Dragon Browser: Bed din it-ansvarlige om at tjekke alle arbejdscomputere for installationen. Den kan findes under ‘Programmer og funktioner’ i Windows Kontrolpanel.
- Afinstallér eller opdatér browseren: Hvis browseren ikke bruges aktivt, afinstallér den. Hvis den bruges, opdatér til den nyeste tilgængelige version via Comodos hjemmeside.
- Begræns lokale brugerrettigheder: Sørg for, at medarbejdere ikke har unødvendige administratorrettigheder på deres computere — det mindsker skaden, hvis en sårbarhed udnyttes.
- Genstart computere efter opdatering: Opdateringen træder først fuldt i kraft, når computeren genstartes, så DragonUpdater-tjenesten starter op i den sikre version.
- Tjek logfiler: Bed it-ansvarlige om at gennemse Windows hændelseslogge for mistænkelig aktivitet i perioden op til opdateringen.
Opdatér inden for 7 dage
Vores anbefaling er, at du prioriterer at fjerne eller opdatere Comodo Dragon Browser på alle virksomhedens Windows-computere inden for den næste uge. Fejlen er nem at udnytte for enhver med lokal adgang — og i mange virksomheder er det ikke svært at skaffe sig den adgang. Kombinér opdateringen med en generel gennemgang af, hvem der har administratorrettigheder på jeres computere — det er god hygiejne, der beskytter mod mange lignende angreb.
Tidslinje
Konkrete eksempler
Medarbejder med begrænset adgang eskalerer til fuld systemkontrol
En medarbejder med en standard Windows-brugerkonto opdager, at Comodo Dragon Browser er installeret på sin arbejdscomputer. Ved hjælp af frit tilgængelige vejledninger på nettet placerer medarbejderen et ondsindet program i den sårbare mappesti. Næste morgen, når computeren genstartes, kører DragonUpdater-tjenesten det ondsindede program med SYSTEM-rettigheder, og medarbejderen har nu fuld kontrol over maskinen — uden at it-afdelingen opdager det.
Ekstern angriber udnytter fjernadgang
En angriber får adgang til en virksomheds computer via et phishing-angreb, der giver begrænset fjernadgang. Angriberen scanner computeren og opdager den sårbare Comodo Dragon Browser-installation. Ved at uploade en ondsindet fil til den rette mappe og vente på næste systemgenstart opnår angriberen fuld SYSTEM-adgang — og kan nu bevæge sig videre til andre systemer på virksomhedens netværk og eksfiltrere følsomme data.
Ransomware-installation uden Windows-beskyttelse
En angriber udnytter sårbarheden til at køre ransomware med SYSTEM-rettigheder. Fordi programmet kører på det højeste privilegieniveau, kan det deaktivere antivirussoftware og Windows Defender, inden krypteringen af virksomhedens filer begynder. Resultatet er en ransomware-infektion, der er sværere at opdage og stoppe end et normalt angreb.
Ofte stillede spørgsmål
Hvad er en 'unquoted service path', og hvorfor er det farligt?
En ‘unquoted service path’ er en programsti i Windows, der ikke er sat i anførselstegn. Når Windows skal starte et program via en sådan sti, prøver det systematisk at finde programmet ved at gætte sig frem — og det kan en angriber udnytte ved at placere et ondsindet program på et af de steder, Windows gætter på. Det er en klassisk og velkendt Windows-fejltype, der desværre stadig dukker op i software.
Kan angrebet ske uden at nogen er til stede ved computeren?
Ja, hvis en angriber allerede har fjernadgang til computeren — fx via et kompromitteret fjernadgangsprogram (RDP, TeamViewer o.l.) — kan angrebet gennemføres uden fysisk tilstedeværelse. Angriberen behøver blot at placere den ondsindede fil og vente på, at computeren genstartes eller tjenesten stoppes og startes igen.
Vi bruger Comodo Dragon Browser til daglig. Er vi i fare lige nu?
Hvis I bruger en version op til 52.15.25.663, er I potentielt sårbare. Risikoen afhænger af, hvem der har adgang til jeres computere. Opdatér browseren hurtigst muligt og kontakt jeres it-leverandør, hvis I er usikre på om I er påvirket.
Hjælper vores antivirus ikke mod dette angreb?
Antivirus kan hjælpe, men er ikke en garanti. Fordi angrebet kører med de højeste systemrettigheder (SYSTEM-niveau), kan en angriber i visse tilfælde deaktivere antivirusprogrammet, inden det opdager truslen. Den bedste beskyttelse er at opdatere eller fjerne den sårbare browser.
Hvad er SYSTEM-rettigheder, og hvorfor er det så slemt?
SYSTEM er det højeste rettighedsniveau i Windows — højere end selv administratorkontoen. Et program, der kører med SYSTEM-rettigheder, kan gøre næsten alt på computeren: installere software, slette filer, ændre sikkerhedsindstillinger og tilgå alle data. Det er derfor denne type sårbarhed er særligt alvorlig.
Bruges Comodo Dragon Browser meget i danske virksomheder?
Comodo Dragon er en Chromium-baseret browser, der primært bruges i virksomheder med Comodo-sikkerhedsprodukter. Den er ikke udbredt som standard-browser, men kan være installeret som del af en Comodo-sikkerhedspakke. Det er værd at tjekke, selv hvis I ikke aktivt har valgt den til.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Comodo Dragon Browser versions up to 52.15.25.663 contain a privilege escalation vulnerability in the DragonUpdater service due to an unquoted service path running with SYSTEM privileges. A local attacker can insert a malicious executable in the service path and execute arbitrary code with elevated privileges upon service restart or system reboot.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
