Investigador de Google critica a Trend Micro por un enorme agujero de seguridad antivirus

Hace menos de dos semanas, cubrimos la falla de seguridad significativa en AVG Web TuneUp software y el intercambio de información de la empresa con el investigador de seguridad de Google, Tavis Ormandy. Ormandy ha encontrado un nuevo conjunto de errores en el producto antivirus de Windows de Trend Micro: errores que son, en todo caso, peores que los que vimos con AVG. A diferencia de los problemas de AVG, que implicaban una barra de herramientas (técnicamente) opcional, la instalación del software antivirus de Trend Micro es un riesgo de seguridad significativo.

Ormandía encontrado que La instalación de Trend Micro Antivirus también instaló un administrador de contraseñas. Este software se inicia automáticamente al inicio y tiene una 'función' que permite la ejecución de código arbitrario. Al igual que AVG, Trend Micro respondió en poco tiempo, pero la respuesta de la empresa aparentemente dejó mucho que desear. Ormandy describe el parcheado versión del programa de la siguiente manera. (Hemos recortado de varios mensajes para facilitar la lectura, cada uno ... indica una nueva respuesta en el hilo):

Gracias Jean, ejecuté esto sobre una instalación de Trend Micro Maximum Security 10, y parece que esto soluciona el problema más crítico. Honestamente, esto todavía se ve bastante frágil, no he revisado las docenas de otras API que está exponiendo, y algunas simplemente suenan muy mal

Me di cuenta de que el punto final / api / showSB generará una versión antigua de Chromium (versión 41) con –disable-sandbox. Para colmo de males, agregan “(Navegador seguro)” al UserAgent.

Esto es ridículo, wtf es esto:



https: // localhost: 49155 / api / showSB? url = javascript: alert (topWindow.require ('child_process') .spawnSync ('calc.exe'))

¿Solo estabas ocultando los objetos globales e invocando un shell de navegador…? ... y luego llamarlo “Navegador seguro”?!? El hecho de que también ejecute una versión antigua con –disable-sandbox solo agrega un insulto a la lesión.

Ni siquiera sé qué decir: ¿cómo podría habilitar esto * de forma predeterminada * en todas las máquinas de sus clientes sin obtener una auditoría de un consultor de seguridad competente?

En resumen: el administrador de contraseñas de Trend Micro es tan defectuoso que podría permitir la ejecución de código malicioso incluso si los usuarios nunca usan el servicio. Los usuarios que confiaban en Trend Micro podían exponer contraseñas hash y dominios de Internet de texto plano a los que pertenecían. Otras fallas de seguridad permitieron la ejecución de código arbitrario en una antigua instancia del navegador Chrome que se ejecutó sin protección de espacio aislado. La siguiente imagen muestra cómo Calc.exe se podría ejecutar de forma remota desde el navegador:

Ejecución remota

Ormandy termina señalando: “Esto significa que cualquier persona en Internet puede robar todas sus contraseñas de forma completamente silenciosa, así como ejecutar código arbitrario sin interacción del usuario. Realmente espero que la gravedad de esto sea clara para ustedes, porque estoy asombrado por esto '.

A día de hoy, hay un parche disponible que aborda el más atroz de estos problemas, pero el trabajo de Ormandy plantea serias dudas sobre cuán seguro es realmente el software antivirus moderno. Esta es la segunda vez en dos semanas que vemos a un importante proveedor de antivirus enviar software con enormes fallas de seguridad. Todo esto plantea preguntas muy reales sobre qué productos son confiables, seguros y protegidos. Dada la enorme dificultad de realizar una auditoría de seguridad, no está claro cuándo obtendremos una mejor respuesta a esta pregunta.

Los paquetes de software antivirus y de seguridad pueden enviarse en cadencias anuales, pero no son como otros productos. Facebook, Amazon e incluso los desarrolladores de juegos: todas estas empresas pueden justificar sacar contenido y parchearlo más tarde. Cuando una empresa de antivirus comete el mismo error, el resultado no es un juego que no se puede reproducir o un sitio de redes sociales roto, es el riesgo potencial de millones de computadoras. Lo que está en juego debería resultar en que se preste mucha más atención a los problemas de seguridad comunes. En este momento, ese no parece ser el caso.

Copyright © Todos Los Derechos Reservados | 2007es.com