[Update] Sicherheitsforscher kritisiert Lücken in Trend Micros Passwortmanager
Gegebenenfalls war ein Angreifer dadurch in der Lage, Schadcode einzuschleusen und auszuführen. Laut Tavis Ormandy legte der Passwortmanager gegenüber Dritten überdies sämtliche Passwörter offen. Obwohl mittlerweile ein Patch verfügbar ist, bewertet Ormandy das Werkzeug weiterhin als unsicher.
Der Sicherheitsforscher Tavis Ormandy, Mitarbeiter bei Googles Project Zero, hat eine schwerwiegende Anfälligkeit im Passwortmanager gefunden, der in Kombination mit Trend Micro Antivirus installiert wird. Die Lücke ermöglicht Einschleusen und Ausführen von Schadcode. Der Werkzeug wird trotz eines von Trend Micro zur Verfügung gestellten Patches von Ormandy nach wie vor als unsicher bewertet.
Update 12. Januar 12 Uhr 05: Trend Micro hat die Lücken eigenen Angaben zufolge umgehend nach Bekanntwerden geschlossen. Dazu sei am 11. Januar über Trend Micros ActiveUpdate-Technologie ein verpflichtendes Update ausgeliefert worden. Da die Funktion für den Trend Micro Password Manager nicht abgestellt werden kann, sollten das Update inzwischen alle Kunden erhalten haben. Die von Ormandy beschriebenen gravierenden Schwachstellen beträfen nun lediglich noch alte, nicht mehr verfügbare Versionen des Trend Micro Password Manager. Er ist zudem Teil der Consumer-Produkte. In Deutschland konzentriert sich der Hersteller allerdings schon länger auf den Markt für gewerbliche Anwender. Trend Micro ist kein Fall bekannt, in dem die beschriebenen Lücken ausgenutzt wurden.
Der Passwortmanager basiert dem Sicherheitsforscher zufolge auf JavaScript und node.js. Er starte einen lokalen Webserver und warte auf API-Befehle, ohne diese per Whitelist oder eine Same Origin Policy einzuschränken. Oramndy hat nach eigenen Angaben nur etwa 30 Sekunden benötigt, um eine Programmierschnittstelle (API) zu finden, die das ausführen beliebiger Befehle erlaubt.
“Es ist sogar möglich MOTW (Mark of the Web) zu umgehen und Befehle ohne jegliche Kommandozeile aufzurufen”, schreibt Ormandy. Auch nach Installation des von Trend Micro veröffentlichten Fix seien noch fast 70 API-Aufrufe des Passwortmanagers vom Web aus erreichbar.
Ormandy kritisiert zudem, dass ein API-Aufruf eine veraltete Chromium-Version anspricht, und zwar mit deaktivierter Sandbox. Der User Agent des Browsers trage trotzdem den Zusatz “Secure Browser”. Die Tests des Forschers haben zudem gezeigt, dass der Passwortmanager Angreifern unter Umständen alle gespeicherten Passwörter preisgibt. “Jeder im Internet kann vollkommen unbemerkt alle Passwörter stehlen und auch ohne Interaktion mit dem Nutzer beliebigen Code ausführen. Ich hoffe wirklich, dass Ihnen die Auswirkungen klar sind, weil mich das sehr erstaunt”, schrieb Ormandy an Trend Micro.
Eine weitere Schwachstelle sei ein von Trend Micro installiertes selbst signiertes Zertifikat für die HTTP-Verschlüsselung. “Trend Micro fügt ein selbst signiertes HTTPS-Zertifikat für den Localhost zum Trust Store hinzu, damit sie nicht auf irgendwelche Sicherheitswarnungen klicken müssen”, kommentiert Ormandy. Dieser Fehler war zuletzt auch Lenovo und Dell unterlaufen.
Schon im September 2015 hatte Ormandy Details zu Sicherheitslücken in der Antivirensoftware des russischen Sicherheitsanbieters Kaspersky enthüllt. Betroffen waren damals die Versionen 15 und 16 von Kaspersky Antivirus. Ormandy hatte bei seinen Versuchen gezeigt, dass solche Lücken nicht nur theoretisch, sondern auch in der Praxis ausgenutzt werden können.
[mit Material von Stefan Beiersmann, ZDNet.de]