Известный исследователь безопасности Маркус Хатчинс публично раскрыл критическую уязвимость нулевого дня в пакете Comodo Internet Security. Проблема затрагивает драйвер брандмауэра на уровне ядра Windows. Злоумышленник может отправить всего один специально сформированный IPv6-пакет и вызвать аварийное завершение системы с "синим экраном смерти" (BSOD). Хатчинс сообщил о находке 3 июня 2026 года, предварительно несколько раз безуспешно пытаясь связаться с разработчиками.
Детали уязвимости
Уязвимость получила название ComoDoS. Она resides в драйвере Inspect.sys, который отвечает за фильтрацию сетевого трафика на уровне ядра. Корень проблемы кроется в обработчике расширенных заголовков IPv6. Когда драйвер принимает входящий IPv6-пакет, он сохраняет длину полезной нагрузки в переменную "packet_desc->payload_length". Это значение полностью контролируется атакующим через поле payload length в фиксированном заголовке IPv6.
Далее парсер последовательно обходит все расширенные заголовки, вычитая длину каждого из "packet_desc->payload_length". Критическая ошибка заключается в том, что драйвер никогда не проверяет корректность значения длины полезной нагрузки. Если атакующий задаст длину меньшую, чем суммарный размер всех расширенных заголовков, произойдёт целочисленная ошибка с понижением (integer underflow). Беззнаковое 64-битное число обнуляется и затем резко возрастает до примерно 18 квинтиллионов (0xFFFFFFFFFFFFFFF8).
Такое огромное значение длины приводит к тому, что драйвер пытается обработать несуществующие данные за пределами буфера. Поскольку уязвимость находится прямо в драйвере брандмауэра, вредоносный пакет разбирается до того, как применяются какие-либо правила фильтрации. Другими словами, атака сработает даже в том случае, если брандмауэр настроен на блокировку всех портов.
Хатчинс опубликовал полное доказательство концепции (PoC) под названием ComoDoS на GitHub. Эксплойт удивительно компактен. Для атаки требуется лишь отправить один пакет с расширенным заголовком "Destination Options" (номер типа 60). Исследователь выбрал именно этот вид заголовка, потому что промежуточные маршрутизаторы отбрасывают его реже всего. Это делает удалённую эксплуатацию более надёжной.
Помимо целочисленной ошибки, описанный сценарий приводит к чтению за пределами буфера (out-of-bounds read) и к операции записи за его границы (out-of-bounds write). Тем не менее Хатчинс считает, что добиться удалённого выполнения кода (RCE) маловероятно. Чтение за границами ограничено из-за сканера артефактов WebDAV, который досрочно завершается при обнаружении стандартных HTTP-заголовков. Что касается записи, то она использует операцию "memcpy" с усечённым до 32 бит размером. В итоге возникает гарантированное переполнение кучи ядра на 4 гигабайта, которое разрушает систему раньше, чем любой код успеет выполниться.
Исследователь направил в Comodo полный отчёт, включая анализ первопричины, рекомендации по исправлению и сам PoC. Он также дважды напоминал о себе, но не получил никакого ответа. У Comodo нет публичной программы вознаграждения за обнаружение уязвимостей (bug bounty). Это не первый случай игнорирования проблем безопасности со стороны вендора. Ранее организация ZDI (Zero Day Initiative) выпустила рекомендацию ZDI-24-953, в которой указала, что Comodo почти два года не отвечала на запросы об исправлении другой критической уязвимости.
Подобное поведение вызывает серьёзную тревогу. Пользователи Comodo Internet Security остаются беззащитными перед атакой, которая требует минимальных усилий со стороны злоумышленника и не зависит от настроек брандмауэра. Любой компьютер с включённым IPv6 может быть выведен из строя удалённо. Поскольку уязвимость уже опубликована, а патча нет, число реальных атак, скорее всего, быстро возрастёт.
Важно понимать, что уязвимость ComoDoS не требует физического доступа к устройству. Достаточно знать IP-адрес жертвы. В корпоративных сетях это может привести к массовым сбоям, остановке работы серверов и финансовым потерям. Для домашних пользователей основной риск - потеря несохранённых данных и необходимость перезагрузки.
Хатчинс принял сложное решение раскрыть уязвимость публично. Он объяснил это тем, что все разумные попытки связаться с разработчиками провалились. В подобных ситуациях, когда вендор не реагирует на угрозу безопасности своих клиентов, публичное раскрытие становится единственным способом привлечь внимание. Однако остаётся открытым вопрос о сроках выпуска исправления. Пока Comodo не опубликует обновление, миллионы пользователей находятся в зоне риска.
На данный момент эксперты рекомендуют отключить поддержку IPv6 на системах, где установлен Comodo Internet Security. Это временная мера, которая снижает поверхность атаки. Но она не решает проблему полностью, если в сети используется IPv6 для других целей. Кроме того, стоит рассмотреть переход на альтернативные антивирусные решения с более ответственным подходом к безопасности.
Инцидент с ComoDoS - наглядный пример того, как игнорирование сообщений исследователей может навредить самим же пользователям. Вендоры должны оперативно реагировать на отчёты об уязвимостях, особенно когда речь идёт о драйверах уровня ядра. Затягивание с исправлением превращает потенциально устранимую проблему в реальную угрозу для тысяч людей.
Ссылки
- https://github.com/MalwareTech/ComoDoS
- https://malwaretech.com/2026/06/exploiting-a-remote-kernel-vulnerability-in-comodo-internet-security.html
