I alle fall Trend Micro Maximum Security 10 har vært berørt av sårbarhetene i denne saken. (Bilde: Trend Micro)
Oppstart av kalkulator i Windows via API-ene til Trend Micro Password Manager. (Bilde: Tavis Ormandy/Google)

Trend Micro Antivirus

Superpinlig sårbarhet funnet i antivirus-verktøy

Skillet mellom sikkerhets- og skadevare kan være syltynt.

Trend Micro har kommet med en sikkerhetsoppdatering som fjerner i alle fall én ekstremt alvorlig sårbarhet fra en komponent som følger med i alle fall ett av selskapets antivirusprodukt for Windows, Trend Micro Maximum Security 10.

Sikkerhetsfeilen etablerer i praksis et kommandolinjegrensesnitt som kan utnyttes av ethvert nettsted som brukeren besøker. En angriper gis dermed samme privilegier på systemet som brukeren selv, blant annet å kunne kjøre programvare, laste og ned filer, eller å slette eller endre filer.

Passordverktøy

Den aktuelle sårbarheten finnes i en komponent som kalles for Password Manager. Ifølge Tavis Ormandy, sikkerhetsforsker i Googles Project Zero, blir denne komponenten alltid installert sammen med antivirusproduktet. I tillegg blir den automatisk startet ved oppstart av pc-en.

Password Manager, som altså er et administrasjonsverktøy for passord, er ifølge Ormandy primært skrevet i JavaScript. Det åpner en rekke HTTP RPC-porter (Remote Procedure Call) for å håndtere forespørsler til programmeringsgrensesnittet.

Ifølge Ormandy tok det ham omtrent 30 sekunder å finne en port som kunne brukes til å kjøre vilkårlige kommandoer på det lokale systemet, slik som denne, som åpner kalkulatoren i Windows:

x = new XMLHttpRequest()
x.open("GET", "https://localhost:49155/api/openUrlInDefaultBrowser?url=c:/windows/system32/calc.exe true);
try { x.send(); } catch (e) {};

Ormandy varslet Trend Micro om sårbarheten den 5. januar. Trend Micro skal ha svart raskt, og den opprinnelige sårbarheten ble etter alt å dømme fjernet senest i går.

Langt fra det eneste

Men mye kan tyde på at dette ikke er den eneste sårbarheten i produktet. Passord-komponenten gjør ifølge Ormandy nesten 70 programmeringsgrensesnitt tilgjengelige via internett, blant annet et for å eksportere brukerens passord.

Password Manager-komponenten inngår i en tjeneste for synkronisering av passord mellom ulike enheter, men Ormandy har oppgitt kode som gjør det mulig for alle å laste ned en brukers passordsamling – riktignok i en kryptert utgave. Men programmeringsgrensesnittet decryptString, som også er tilgjengelig, skal løse dette.

– Dette betyr at alle på internett kan stjele alle passordene dine helt i stillhet, i tillegg til å kjøre vilkårlig kode uten noen bruker-interaksjon, skriver Ormandy.

«Secure» Browser

Inkludert i produktet finnes det også en egen nettleser. Denne er basert på Chromium 41, som ble utgitt i november 2014. Men den kjøres med sandkassen avslått. Nettleseren, som Trend Micro i noen tilfeller kaller for «Secure Browser», er tilgjengelig via programmeringsgrensesnittet showSB.

– Dette er det latterligste jeg noen gang har sett, var beskjeden fra Ormandy til Trend Micro etter at han hadde oppdaget den «sikre» nettleseren.

I sikkerhetsoppdateringen har Trend Micro blant annet inkludert et krav om at forespørsler til noen av programmeringsgrensesnittene kommer fra et hvitelistet domene, i praksis pwm.trendmicro.com. Ormandy skriver at han antar dette vil kunne fungere, under den forutsetning at det ikke er noen XSS-feil (Cross-Site Scripting) på pwm.trendmicro.com.

Han antar dog at det finnes slike feil der og oppfordrer Trend Micro til å få gjennomført en profesjonell revisjon av dette.

– Jeg mener det fortsatt er en rekke problemer her, som den sikre nettlesere. Men jeg er enig i at dette fjerner de mest presserende problemene, skriver Ormandy til Trend Micro i en hittil siste melding.

Sikkerhetsoppdateringen til Trend Micro Antivirus og tilhørende komponenter skal ha blitt rullet ut automatisk.

Til toppen