Sicherheitslücke in Trend Micro-Schutzsoftware

Die Hersteller von Sicherheitssoftware setzen ja alles daran, die Pakete mit allerlei unsinnigen Funktionen anzureichern – und reißen oft riesige Sicherheitslücken in ihre Internet Security Suites. Jetzt hat es die Trend Micro Security 10-Suite bzw. den dort integrierten (und frei erhältlichen) Password-Manager getroffen.


Anzeige

Hier im Blog gibt es ja einige Artikel zu Sicherheitslücken, die durch Internet Security Suites aufgerissen wurden. Der letzte Fall ist im Artikel AVG vergurkt Chrome, Antivirus-Installer als Adware-Schleuder dokumentiert. Ich hatte mir daher im Artikel Windows 10: Welche Antivirus-Lösung soll ich einsetzen? einige Gedanken zum Thema gemacht und weitere Problemfälle genannt.

Trend Micro Password-Manager angreifbar

Google Sicherheitsspezialist Tavis Ormandy hat im Rahmen des Projects Zero nun den nächsten Kandidaten ausgemacht. Wie er in diesem Google-Posting schreibt, reißt die Installation von TrendMicro Antivirus unter Windows eine Sicherheitslücke auf. Bei der Installation der Antivirus-Lösung wird auch zwangsweise ein Passwort-Manager eingerichtet. Dieser startet bei jeder Windows-Anmeldung und ist in großen Teilen in JavaScript mittels der node.js-Bibliothek geschrieben. Der Passwort-Manager ist unter der oben verlinkten Seite auch gratis erhältlich (Werbung “One master password is all you need”), wird dann aber auf 5 Kennwörter limitiert. Ein 2 Jahres Abo ist für 24,95 US $ erhältlich, und in der Security Suite ist das Teil gratis enthalten – ein Sicherheitsschnäppchen.

Das Teil öffnet mehrere HTTP RPC Ports, um API-Aufrufe abzuwickeln. Es hat gerade mal  30 Sekunden gedauert, um einen dieser Ports mit einer gravierenden Sicherheitslücke auszumachen. Über diese Lücke lassen sich Befehle absetzen und z.B. Anwendungen ausführen.  Hier ein JavaScript-Snippet zum Starten des Rechners:

x = new XMLHttpRequest()
x.open("GET", "https://localhost:49155/api/openUrlInDefaultBrowser?url=c:/windows/system32/calc.exe true);
try { x.send(); } catch (e) {};

Der Fehler wurde vor 90 Tagen wohl entdeckt und jetzt automatisch offen gelegt. Wie ein Leser am 5. Januar 2016 in einem Kommentar anmerkt, installiert Trend Micro zudem ein selbst signiertes HTTPS-Zertifikat, so dass man man auch da Zugriff auf verschlüsselte Kommunikation bekommt.

Trend Micro hat zwar einen Patch an Tavis Ormandy geschickt, der laut seinem vom 7. Januar datierenden Kommentar die obige Lücke schließt. Tavis stuft diesen Fix aber als extrem “fragil” ein, da er eine Reihe Methoden in node.js aufruft, die möglicherweise Sicherheitslücken enthalten. Und etwas später teilt er mit, dass ein spawnSync-Aufruf direkte Shell-Befehle zulässt.


(Quelle)

Der obige Screenshot zeigt, wie aus dem Browser der Windows-Rechner aufgerufen werden kann. Der Kommentar von Tavis ist lesenswert:

I don’t even know what to say – how could you enable this thing *by default* on all your customer machines without getting an audit from a competent security consultant?

You need to come up with a plan for fixing this right now. Frankly, it also looks like you’re exposing all the stored passwords to the internet, but let’s worry about that screw up after you get the remote code execution under control.

Please confirm you understand this report.


Werbung

Mit dem Patch können dritte die Kennwörter des Password-Managers auslesen – und er vermutet, dass die Kennwörter im Internet gespeichert werden. Heißt “die Jungs können es einfach nicht” – und er fragt berechtigt nach einer Bestätigung, das die Trend Micro-Entwickler den ursprünglichen Sicherheitsbericht gelesen haben. Es gibt einen weiteren Kommentarwechsel zwischen Tavis und den Trend Micro-Leuten, die mit Updates von Updates um sich werfen. Die Empfehlung von Tavis: Deaktiviert euren Krempel, bis ihr das Problem gebacken bekommt. Gestern bestätigt Tavis wohl, dass das letzte Update die initiale Sicherheitslücke schließt. Also auf ein Neues, bis zur nächsten Lücke. Mit solchen “Freunden” braucht es keine “Feinde” in Form von Malware mehr … (via)

Ähnliche Artikel:
Windows 10: Welche Antivirus-Lösung soll ich einsetzen?
AVG vergurkt Chrome, Antivirus-Installer als Adware-Schleuder
Autsch! AVG kann Browerverlauf an Drittanbieter verkaufen
Comodo Antivirus killt Chrome 45-Browser per Code-Injection
Google Projekt Zero: Antivirus-Software als Archillesferse
Achtung: Panda Cloud/Antivirus legt Windows lahm


Anzeige
Dieser Beitrag wurde unter Sicherheit, Virenschutz abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.