Hoe veilig zijn beveiligingsproducten? Eerst AVG, nu TrendMicro met grote gebreken

Probeer Ons Instrument Voor Het Oplossen Van Problemen

Google-onderzoeker Tavis Ormandy ontdekte onlangs een grote fout in de wachtwoordbeheercomponent van TrendMicro Antivirus voor Windows die verschillende grote beveiligingsproblemen had waardoor websites onder andere willekeurige commando's konden uitvoeren, alle opgeslagen wachtwoorden openbaar konden maken of een 'veilige browser' konden uitvoeren. 'dat is helemaal niet veilig.

Het lijkt erop dat Google momenteel beveiligingsproducten op Windows onderzoekt, en dan vooral producten die op de een of andere manier communiceren met de Chrome-webbrowser of Chromium.

Het bedrijf schaamde AVG openlijk begin januari voor de Web TuneUp-extensie voor Chrome, omdat beveiligingsfouten de 9 miljoen Chrome-gebruikers die het gebruiken in gevaar brengen.

TuneUp, geïnstalleerd met AVG-beveiligingssoftware of afzonderlijk, brengt Chrome-gebruikers in gevaar door 'webbeveiliging' uit te schakelen voor Chrome-gebruikers die de extensie hadden geïnstalleerd.

AVG produceerde uiteindelijk een oplossing (hiervoor waren twee pogingen nodig, de eerste werd afgewezen omdat deze niet voldoende was).

Beveiligingsprobleem met TrendMicro Password Manager

En nu het is Trend Micro die door Google openlijk wordt beschaamd. Volgens Ormandy is de Password Manager-component deze keer de boosdoener die automatisch wordt geïnstalleerd met TrendMicro Antivirus voor Windows en bij het opstarten wordt uitgevoerd ( en ook beschikbaar als een zelfstandig programma en app).

Dit product is voornamelijk in JavaScript geschreven met node.js en opent meerdere HTTP RPC-poorten voor het afhandelen van API-verzoeken.

Het duurde ongeveer 30 seconden om er een te vinden die willekeurige opdrachtuitvoering toestaat, openUrlInDefaultBrowser, die uiteindelijk wordt toegewezen aan ShellExecute ().

Dit betekent dat elke website willekeurige commando's kan starten [..]

In een reactie aan een medewerker van TrendMicro heeft Ormandy de volgende informatie toegevoegd:

Hé, wil je even kijken of hier een update is? Dit is triviaal exploiteerbaar en vindbaar in de standaardinstallatie, en uiteraard ontwormbaar - naar mijn mening zou je mensen moeten oproepen om dit te verhelpen.

FWIW, het is zelfs mogelijk om MOTW te omzeilen en commando's te spawnen zonder enige prompt. Een gemakkelijke manier om dat te doen (getest op Windows 7), zou zijn om automatisch een zip-bestand met een HTA-bestand te downloaden en het vervolgens aan te roepen [..]

De eerste build die TrendMicro ter verificatie naar Travis Ormandy stuurde, loste een van de belangrijkste problemen van het programma op (het gebruik van ShellExecute), maar dat loste niet de andere problemen op die werden opgemerkt tijdens het ruwe onderzoek van de code.

Trend Micro-2016-01-07-16-21-51

Ormandy merkte bijvoorbeeld op dat een van de API's die door TrendMicro werd gebruikt, een 'oude' build van Chromium voortbracht (versie 41 van de browser die nu beschikbaar is als versie 49) en dat het bovendien de sandbox van de browser zou uitschakelen om een ​​' secure browser 'aan zijn gebruikers.

Zijn antwoord op TrendMicro was bot:

Je verborg gewoon de globale objecten en riep een browserschil op ...? ... en het vervolgens 'Secure Browser' noemen?!? Het feit dat je ook een oude versie met --disable-sandbox draait, maakt de blessure alleen maar erger.

Ik weet niet eens wat ik moet zeggen - hoe kunt u dit * standaard * inschakelen op al uw computers van klanten zonder een audit van een bekwame beveiligingsadviseur te krijgen?

Last but not least ontdekte Ormandy dat het programma een 'mooie schone API bood voor toegang tot wachtwoorden die zijn opgeslagen in de wachtwoordbeheerder', en dat iedereen gewoon alle opgeslagen wachtwoorden kan lezen '.

Gebruikers worden bij de installatie gevraagd om hun browserwachtwoorden te exporteren, maar dat is optioneel. Ik denk dat een aanvaller het kan forceren met / exportBrowserPasswords API, dus zelfs dat helpt niet. Ik heb een e-mail gestuurd waarin ik hierop wees:

Naar mijn mening moet u deze functie tijdelijk uitschakelen voor gebruikers en uw excuses aanbieden voor de tijdelijke storing, en vervolgens een extern adviesbureau inhuren om de code te controleren. In mijn ervaring met beveiligingsleveranciers zijn gebruikers vergeven fouten als leveranciers snel handelen om hen te beschermen als ze eenmaal op de hoogte zijn van een probleem. Ik denk dat het ergste wat je kunt doen is gebruikers bloot te stellen terwijl je dit opruimt. De keuze is natuurlijk aan jou.

Het probleem lijkt op het moment van schrijven niet volledig te zijn opgelost, ondanks de inspanningen van TrendMicro en verschillende patches die het bedrijf de afgelopen dagen heeft geproduceerd.

Beveiligingssoftware inherent onveilig?

De belangrijkste vraag die hieruit zou moeten komen is 'hoe veilig zijn beveiligingsproducten'? Twee belangrijke problemen bij twee producten door grote spelers op het gebied van antivirusprogramma's zijn reden tot bezorgdheid, vooral omdat de kans bestaat dat zij niet de enigen zijn die hun eigen producten niet goed lijken te hebben beveiligd.

Voor eindgebruikers is het bijna onmogelijk om te zeggen dat er iets mis is, waardoor ze in een precaire situatie terechtkomen. Kunnen ze vertrouwen op hun beveiligingsoplossing om hun gegevens veilig te houden, of is het juist de software die hun computers moet beveiligen die deze in gevaar brengt?