Image default
Security

(Atualizado) Bug no Trend Micro Antivírus permite o roubo de senhas

Seu sistema operacional pode ser remotamente “sequestrado”, ou infectado com qualquer malware mesmo através de um website – graças a uma vulnerabilidade crítica no Trend Micro.

A fabricante do popular antivírus, Trend Micro, disponibilizou um patch de emergência para corrigir falhas críticas em seu produto, que permitem a um invasor (ou invasores, rsrs) executar código arbitrário remotamente, bem como roubar as senhas salvas pelo gerenciador de senhas existente na ferramenta de antivírus.

Esta ferramenta de gerenciamento de senhas que vem “embutida” no antivírus é utilizada para armazenar as senhas dos usuários e funciona igual como qualquer outra ferramenta do gênero.

Até mesmo websites podem “invadir” seu computador

O pesquisador de segurança do Projeto Zero do Google, Tavis Ormandy, descobriu a falha de execução remota de código no componente Password Manager (Gerenciador de Senhas) do Trend Micro Antivírus.

Uma vez comprometidas, todas as suas senhas poderão ser roubadas

Tecnicamente, o componente Password Manager existente na suíte de antivírus é executado a partir de um servidor Node.js local toda vez em que o antivírus inicia.

371098-trend-micro-maximum-security-2015-password-manager

Quando analisou o referido componente, Ormandy descobriu que o servidor Node.js habilita algumas portas HTTP RPC, sendo utilizadas para manipular solicitações de API, ficando abertas para o mundo.

Com o site local disponível em: “http://localhost:49155/api/“, os invasores podem criar links simbólicos, que quando clicados por um usuário que possua o Trend Micro Antivírus instalado, permitirá aos invasores, executarem códigos remotamente no computador local sem a necessidade de haver alguma interação do usuário.

Desse modo, um invasor poderia facilmente fazer o upload do código malicioso e executá-lo em sua máquina, mesmo sem o seu conhecimento.

Além disso, Ormandy também constatou que o Password Manager da Trend Micro também expõe mais de 70 APIs através deste mesmo servidor Node.js.

O Trend Micro utiliza certificado SSL auto-assinado

Assim com o Superfish da Lenovo e o eDellRoot da Dell, o TrendMicro também adiciona um certificado de segurança auto-assinado para o armazemento dos certificados do usuário, de modo que não verão quaisquer erros de HTTPS.

Isso é ridículo.

Ormandy

O Trend Micro instala então, um certificado auto-assinado que pode interceptar o tráfego criptografado para cada site que o usuário visitar.

O especialista relatou o problema para a equipe da Trend Micro e os ajudou a criar um patch para ele, que inclusive está disponível para corrigir a falha de execução remota de código. Assim, os usuários do Trend Micro são aconselhados a atualizarem seu software o mais rapidamente possível.

Fonte: The Hacker News

Atualização

Conforme contato recebido em meu Twitter pessoal (rsrs), a Trend Micro informa que corrigiu a referida vulnerabilidade. Enfatiza que  esta correção foi disponibilizada de forma obrigatória através da tecnologia do ActiveUpdates no dia 11 de janeiro de 2016.

Informa ainda que para o seu Password Manager, o ActiveUpdate não pode ser desligado, o que significa que todos os clientes atuais do produto recebem todas as atualizações fornecidas através do ActiveUpdate. As vulnerabilidades críticas relatadas afetam uma versão antiga do Trend Micro Password Manager, que inclusive não está mais disponível.

Posts similares

Worm Conficker é encontrado em câmeras de segurança da polícia dos EUA

O Analista

Administrador do site Silk Road se declara culpado das acusações

O Analista

Ransomware: Dr. Web diz que pode remover o KeRanger

O Analista