Badacz Google, Tavis Ormandy, odkrył niedawno poważną wadę komponentu menedżera haseł TrendMicro Antivirus dla systemu Windows, który miał kilka poważnych problemów bezpieczeństwa, które między innymi pozwalałyby witrynom na uruchamianie dowolnych poleceń, ujawnianie wszystkich przechowywanych haseł lub uruchamianie „bezpiecznej przeglądarki” „to wcale nie jest bezpieczne.
Wygląda na to, że Google bada obecnie produkty zabezpieczające w systemie Windows, a szczególnie te, które współdziałają z przeglądarką Chrome lub Chromium w taki czy inny sposób.
Firma otwarcie zawstydziła AVG na początku stycznia za rozszerzenie Web TuneUp dla Chrome, ponieważ błędy bezpieczeństwa narażają 9 milionów użytkowników Chrome, którzy go używają.
TuneUp, zainstalowany z oprogramowaniem zabezpieczającym AVG lub osobno, naraża użytkowników Chrome na ryzyko, wyłączając „zabezpieczenia internetowe” dla użytkowników Chrome, którzy zainstalowali rozszerzenie.
System AVG ostatecznie opracował poprawkę (potrzebne były do tego dwie próby, pierwsza została odrzucona, ponieważ nie była wystarczająca).
Problem bezpieczeństwa TrendMicro Password Manager
A teraz to firma Trend Micro zostaje otwarcie zawstydzona przez Google. Według Ormandy, tym razem sprawcą jest Menedżer haseł, który jest automatycznie instalowany wraz z TrendMicro Antivirus dla Windows i działa przy starcie (dostępny również jako samodzielny program i aplikacja).
Ten produkt jest napisany przede wszystkim w JavaScript z node.js i otwiera wiele portów HTTP RPC do obsługi żądań API.
Wykrywanie jednego, który pozwala na wykonanie dowolnego polecenia, openUrlInDefaultBrowser, zajęło około 30 sekund, które ostatecznie mapuje na ShellExecute ().
Oznacza to, że każda strona internetowa może uruchamiać dowolne polecenia [..]
W odpowiedzi do pracownika TrendMicro Ormandy dodał następujące informacje:
Hej, chciałem tylko sprawdzić, czy jest tu jakaś aktualizacja? Jest to trywialnie możliwe do wykorzystania i możliwe do wykrycia w domyślnej instalacji i oczywiście możliwe do przereagowania — moim zdaniem powinieneś przywoływać ludzi, aby to naprawić.
FWIW, można nawet ominąć MOTW i spawnować polecenia bez żadnych monitów. Najłatwiejszym sposobem na to (przetestowanym w systemie Windows 7) byłoby automatyczne pobranie pliku zip zawierającego plik HTA, a następnie wywołanie go [..]
Pierwsza kompilacja, którą TrendMicro przesłał do Travisa Ormandy w celu weryfikacji, naprawiła jeden z głównych problemów programu (użycie ShellExecute), ale nie zajęło się innymi problemami wykrytymi podczas zgrubnego sprawdzania kodu.
Ormandy zauważył na przykład, że jeden z interfejsów API używanych przez TrendMicro zrodził „starą” wersję Chromium (wersja 41 przeglądarki, która jest teraz dostępna jako wersja 49) i że wyłączyłaby piaskownicę przeglądarki, aby zaoferować „ bezpieczna przeglądarka ”dla użytkowników.
Jego odpowiedź dla TrendMicro była tępa:
Właśnie ukrywałeś obiekty globalne i wywoływałeś powłokę przeglądarki …? … a następnie nazywając go „Bezpieczną przeglądarką”?!? Fakt, że korzystasz również ze starej wersji z opcją —disable-sandbox, tylko zniewaga obrażeń.
Nie wiem nawet, co powiedzieć — jak mógłbyś włączyć tę funkcję * domyślnie * na wszystkich komputerach klientów bez uzyskania audytu od kompetentnego konsultanta ds. Bezpieczeństwa?
Na koniec, Ormandy odkrył, że program oferuje „ładny, czysty interfejs API do uzyskiwania dostępu do haseł przechowywanych w menedżerze haseł” i że każdy może po prostu odczytać wszystkie przechowywane hasła ”.
Podczas instalacji użytkownicy są monitowani o wyeksportowanie haseł przeglądarki, ale jest to opcjonalne. Myślę, że atakujący może wymusić to za pomocą interfejsu API / exportBrowserPasswords, więc nawet to nie pomaga. Wysłałem e-mail z informacją:
Moim zdaniem należy tymczasowo wyłączyć tę funkcję dla użytkowników i przeprosić za tymczasowe zakłócenia, a następnie zatrudnić zewnętrzną firmę doradczą w celu przeprowadzenia audytu kodu. Z mojego doświadczenia w kontaktach z dostawcami zabezpieczeń, użytkownicy dość wybaczają błędy, jeśli dostawcy działają szybko, aby je chronić, gdy zostaną poinformowani o problemie. Myślę, że najgorsze, co możesz zrobić, to pozostawić użytkowników narażonych podczas czyszczenia tej rzeczy. Oczywiście wybór należy do ciebie.
Wydaje się, że problem nie został całkowicie rozwiązany w momencie pisania, pomimo wysiłków TrendMicro i kilku łatek wyprodukowanych przez firmę w ciągu ostatnich kilku dni.
Oprogramowanie zabezpieczające z natury niepewne?
Główne pytanie, które powinno z tego wyniknąć, brzmi „jak bezpieczne są produkty bezpieczeństwa”? Niepokojące są dwa główne problemy dwóch głównych producentów antywirusowych w dwóch produktach, zwłaszcza że istnieje szansa, że nie są jedynymi, którzy nie zapewnili odpowiedniego zabezpieczenia swoich produktów.
Dla użytkowników końcowych prawie niemożliwe jest stwierdzenie, że coś jest nie tak, co pozostawia ich w niepewnej sytuacji. Czy mogą zaufać swojemu rozwiązaniu zabezpieczającemu bezpieczeństwo danych, czy też to właśnie oprogramowanie powinno zabezpieczyć komputery przed zagrożeniem?
Podsumowanie
Nazwa artykułu
Jak bezpieczne są produkty bezpieczeństwa? Najpierw AVG, teraz Trend Micro z poważnymi wadami
Opis
Google wykryło kilka luk w zabezpieczeniach w Menedżerze haseł TrendMicro ujawniającym hasła użytkowników i umożliwiającym zdalne wykonanie kodu.
