Sécurité

Un chercheur de Google dénonce Trend Micro pour un énorme trou de sécurité antivirus – High-teK.ca

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Il y a moins de deux semaines, nous avons couvert l’importante faille de sécurité d’AVG Mise au point Web logiciel, et les allers-retours de l’entreprise avec le chercheur en sécurité de Google, Tavis Ormandy. Ormandy a trouvé un nouvel ensemble de bogues dans le produit antivirus Windows de Trend Micro – des bogues qui sont, en tout cas, pires que ce que nous avons vu avec AVG. Contrairement aux problèmes d’AVG, qui impliquaient une barre d’outils (techniquement) facultative, l’installation du logiciel antivirus de Trend Micro représente un risque de sécurité important.

Ormandy trouvé ceci l’installation de Trend Micro Antivirus a également installé un gestionnaire de mots de passe. Ce logiciel se lance automatiquement au démarrage et possède une « fonctionnalité » qui permet l’exécution de code arbitraire. Comme AVG, Trend Micro a répondu rapidement, mais la réponse de l’entreprise laissait apparemment beaucoup à désirer. Ormandy décrit patché version du programme comme suit. (Nous avons extrait plusieurs messages pour en faciliter la lecture, chacun … indique une nouvelle réponse dans le fil):

Merci Jean, j’ai exécuté ceci sur une installation de Trend Micro Maximum Security 10, et il semble que cela corrige le problème le plus critique. Honnêtement, cette chose a toujours l’air assez fragile, je n’ai pas parcouru les dizaines d’autres API que vous exposez – et certaines sonnent juste vraiment mal

J’ai remarqué que le point de terminaison /api/showSB générera une ancienne version de Chromium (version 41) avec -disable-sandbox. Pour ajouter l’insulte à l’injure, ils ajoutent « (Secure Browser) » à l’UserAgent.

Ce truc est ridicule, wtf c’est ça :

https://localhost:49155/api/showSB?url=javascript:alert(topWindow.require(« child_process »).spawnSync(« calc.exe »))

Vous étiez juste en train de cacher les objets globaux et d’invoquer un shell de navigateur… ? … puis l’appeler « Secure Browser » ?! ? Le fait que vous exécutiez également une ancienne version avec -disable-sandbox ne fait qu’ajouter l’insulte à l’injure.

Je ne sais même pas quoi dire – comment pourriez-vous activer cette chose *par défaut* sur toutes les machines de vos clients sans obtenir un audit d’un consultant en sécurité compétent ?

Pour résumer : le gestionnaire de mots de passe de Trend Micro est tellement défectueux qu’il pourrait permettre l’exécution de code malveillant même si les utilisateurs n’utilisent jamais le service. Les utilisateurs qui comptaient sur Trend Micro pouvaient exposer les mots de passe hachés et les domaines Internet en clair auxquels ils appartenaient. D’autres failles de sécurité permettaient l’exécution de code arbitraire dans une ancienne instance de navigateur Chrome exécutée sans protection sandbox. L’image ci-dessous montre comment Calc.exe peut être exécuté à distance depuis le navigateur :

Psssssst :  Vous craignez qu'Amazon ajoute la reconnaissance faciale aux sonnettes ? Trop tard - High-teK.ca

Exécution à distance

Ormandy termine en notant : « Cela signifie donc que n’importe qui sur Internet peut voler tous vos mots de passe de manière totalement silencieuse, ainsi qu’exécuter du code arbitraire sans aucune interaction de l’utilisateur. J’espère vraiment que la gravité de tout cela est claire pour vous, car cela m’étonne.

À ce jour, un correctif est disponible pour résoudre les problèmes les plus graves, mais le travail d’Ormandy soulève de sérieuses questions sur la sécurité des logiciels antivirus modernes. C’est la deuxième fois en deux semaines que nous voyons un important fournisseur d’antivirus livrer un logiciel avec des failles de sécurité massives. Tout cela soulève des questions très réelles sur les produits dignes de confiance, sûrs et sécurisés. Étant donné l’énorme difficulté d’effectuer un audit de sécurité, il n’est pas clair quand nous aurons une meilleure réponse à cette question.

Les suites logicielles antivirus et de sécurité peuvent être livrées à des cadences annuelles, mais elles ne sont pas comme les autres produits. Facebook, Amazon, même les développeurs de jeux – toutes ces entreprises peuvent justifier de diffuser du contenu et de le corriger plus tard. Lorsqu’un éditeur d’antivirus commet la même erreur, le résultat n’est pas un jeu injouable ou un site de réseau social défectueux, c’est la compromission potentielle de millions d’ordinateurs. Ces enjeux devraient se traduire par une plus grande attention portée aux problèmes de sécurité communs. À l’heure actuelle, cela ne semble pas être le cas.

Bouton retour en haut de la page