Trend Micro: zahlreiche Lücken in Sicherheitslösung erlaubten Remote-Codeausführung

12. Januar 2016 Kategorie: Backup & Security, Internet, geschrieben von: Sascha Ostermaier

artikel_trendmicroSicherheitslösungen für den Anwender, so wie die von Trend Micro, sollen beim Nutzer eigentlich für mehr Sicherheit während der Netzaktivitäten sorgen. Blöd, wenn dann – wie zum Beispiel bei Trend Micro – die Sicherheitslösung eine große Schwachstelle darstellt und neben der Möglichkeit zur Remote-Ausführung von Code ach gleich noch die Passwörter eines integrierten Passwortmanagers präsentiert werden. Besonders krass ist das Ganze dann, wenn ein Sicherheitsforscher gerade einmal 30 Sekunden benötigt, um die erste von vielen Lücken zur Remote-Code-Ausführung zu entdecken. Das Problem ist offensichtlich der Passwortmanager, der im Produkt von Trend Micro integriert ist.

Denn auch wenn der Passwortmanager nicht vom Nutzer aktiviert ist, kann er als Einfallstor für Angreifer dienen. Die, die ihn sogar nutzen, geben etwaigen Angreifern auch gleich einen ziemlich direkten Blick auf ihre gespeicherten Passwörter, wenngleich diese gehashed sind. Dafür liegen die zugehörigen Domains im Klartext vor. Für Angreifer quasi ein Silbertablett, auf dem alles präsentiert wird.

trendmicro

Tavis Ormandy, ein Forscher bei Googles Project Zero-Team, entdeckte diese Schlamperei, anders kann man so ein Produkt kaum noch nennen, das selbst nach einem schnell zusammengeschusterten Fix noch mehr als 70 Angriffspunkte aufweist. Wie gravierend die Lücken sind, versuchte Ormandy zu erklären, forderte Trend Micro auf, die Funktion sofort bei den Nutzern zu deaktivieren und sie nicht weiter dem Risiko ausgesetzt zu lassen:

So this means, anyone on the internet can steal all of your passwords completely silently, as well as execute arbitrary code with zero user interaction. I really hope the gravity of this is clear to you, because I’m astonished about this.

In my opinion, you should temporarily disable this feature for users and apologise for the temporary disruption, then hire an external consultancy to audit the code. In my experience dealing with security vendors, users are quite forgiving of mistakes if vendors act quickly to protect them once informed of a problem, I think the worst thing you can do is leave users exposed while you clean this thing up. The choice is yours, of course.

Diese Aussage steht etwas im Widerspruch zu Trend Micros eigener Aussage, dass alle Lücken geschlossen seien. Auf dem Unternehmensblog ist dazu eine Stellungnahme zu lesen:

The most important thing to know is that the critical vulnerabilities in the public report have been fixed for all Trend Micro Password Manager customers. We released a mandatory update through Trend Micro’s ActiveUpdate technology on January 11, 2016 that fixes these problems: all customers should have that now. It’s important to note that for Trend Micro Password Manager, ActiveUpdates cannot be turned off which means that all current Trend Micro Password Manager customers get all updates provided through ActiveUpdate. For all intents and purposes, the reported critical vulnerabilities affect an old, no-longer available version of Trend Micro Password Manager.

Trend Micro ist allerdings nicht der erste AV-Hersteller, der von Ormandy bloßgestellt wird. Es traf in der Vergangenheit auch die anderen großen Kandidaten, wie Sophos, Kaspersky, AVG und FireEye. Das entschuldigt natürlich nicht die Lücken in der Trend Micro Sicherheitslösung, zeigt aber, dass auch Sicherheitslösungen nicht immer nur Sicherheit bringen. Besonders schlimm ist in diesem Fall, dass selbst eine Nichtnutzung des Passwortmanagers nicht vor den Lücken schützt, die dieser mitbringt.

Im Prinzip weiß man nun nicht, ob die Produkte noch gefährdet sind oder nicht. Da die Lücken erst am 5. Januar bekannt wurden, kann ich mir nicht vorstellen, dass alle geschlossen sind, wenn sie tatsächlich so zahlreich auftraten. Davon kann man aber ausgehen, Ormandy ist ja kein Unbekannter. Sehr unschöne Sache, vor allem, wenn sie nicht schnell und zufriedenstellend gelöst wird.

(Quelle: ArsTechnica)


Über den Autor: Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Sascha hat bereits 7068 Artikel geschrieben.

9 Kommentare

saujung 12. Januar 2016 um 11:28 Uhr

“ Die, die ihn sogar nutzen, geben etwaigen Angreifern auch gleich einen ziemlich direkten Blick auf ihre gespeicherten Passwörter, wenngleich diese gehashed sind.“

Was bitte sollen Passwort-Hashes in einem Passwort-Manager bringen? Wenn ein vernünftiger Hash-Algorithmus am besten inklusive Salt verwendet wird, kann man das Passwort daraus nicht rekonstruieren, benutzt man einen schwachen, kann man es sich auch gleich sparen. Üblicher Weise verschlüsseln Passwort-Manager die Passwörter, denn sie brauchen ja, anders als der Dienst, in dem das Passwort verwendet wird, Zugriff auf das Passwort.

Heiko 12. Januar 2016 um 12:22 Uhr

Security-Software, die das System angreifbar macht. Keine Pointe

chris1977 ce (chris1977ce) 12. Januar 2016 um 12:32 Uhr

Windows Defender/Firewall (ab Windows 8.x) + Malwarebytes Premium (Lifetime License) + Brain.exe langt; wozu also so aufgeblähte Security Suiten, die das Leben schwer machen?

Malte 12. Januar 2016 um 14:48 Uhr

Die Antwort ist: Linux.

saujung 12. Januar 2016 um 15:24 Uhr

@Malte
99% der Sorgen hat man dann jedenfalls schon mal nicht mehr. Das bedeutet nur leider nicht, dass die reale Gefahr auch wirklich um 99% geringer ist.

saujung 12. Januar 2016 um 15:29 Uhr

Heise schreibt zum Thema „gehashte Passwörter“, die man da vom Trendmicor bekommt folgendes:
„.., kann ein Angreifer alle Passwörter und die dazugehörigen Domains auslesen, wenn der Passwort-Manager benutzt wird. Zwar sind die Passwörter verschlüsselt, aber eine öffentlich erreichbare API auf dem Rechner des Opfers entschlüsselt sie auf Anfrage. Nachdem der Sicherheitsforscher die Lücken gemeldet hatte und einen funktionierenden Exploit entwickelte, hat Trend Micro einen Patch bereitgestellt, der die Lücken schließt.“

Also:
1. Sie schreiben nichts von Hashes. Ergibt wie weiter oben gesehen auch keinen Sinn.
2. Noch schlimmer: Sie sind verschlüsselt, Trendmicro rückt aber auch das Klartextpasswort heraus.
3. Es gibt einen Patch. Na wunderprächtig.

Wieder ein sehr gutes Indiz, die Finger von Passwort-Managern zu lassen, die nicht mindestens open source sind, und am besten im eigenen Zuständigkeitsbereich arbeitet.

Stefan 12. Januar 2016 um 19:21 Uhr

was aber komplett im Bericht fehlt: WELCHES Produkt von Trend Micro ist hier betroffen???? es gibt ja nicht nur eines von TM 😉 !!!!

saujung 13. Januar 2016 um 09:13 Uhr

@Stefan
Irgend ein mir nicht bekanntes, in dem es einen PW-Manager gibt.

Da sie ihren Code nicht ständig selbst neu entwickelt, wird man es auf alle Produkte ausweiten können, die einen PW-Manager enthalten.

dev 14. Januar 2016 um 07:44 Uhr

Da sind die primär Quellen aber relativ unscharf wieder gegeben.
Das Produkt bietet lediglich 70 API Endpunkte an welche diese Komponennte(Passwort Speicher). Man könnte hier lediglich von potenziellen angriffspunkten sprechen.
Einer dieser Endpunkte liefert eben die gespeicherten „verschlüsselten“ Passwörter wohingegen ein anderer zu einem verschlüsselten Passwort den entsprechenden Klartext liefert.
Ein anderes Problem war die remote code execution, welche zustande kam, weil einfach Eingaben ungeprüft an den Syscall „ShellExecute“ weitergereicht wurde.
Diese beiden Probleme löst der Patch nun, aber generell kann man bei solchen Schlampereien davon ausgehen, das auch die restliche codequalität nicht unbedingt überragend ist.
So gesehen gibt es keinen Widerspruch zwischen den aussagen weil darüber hinaus die weiteren API Endpunkte nicht von Tavis untersucht worden sind.


Es kann bis zu 5 Minuten dauern, bis dein Kommentar erscheint.



Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung.