Trend Micro: zahlreiche Lücken in Sicherheitslösung erlaubten Remote-Codeausführung

12. Januar 2016 Kategorie: Backup & Security, Internet, geschrieben von: Sascha Ostermaier

artikel_trendmicroSicherheitslösungen für den Anwender, so wie die von Trend Micro, sollen beim Nutzer eigentlich für mehr Sicherheit während der Netzaktivitäten sorgen. Blöd, wenn dann – wie zum Beispiel bei Trend Micro – die Sicherheitslösung eine große Schwachstelle darstellt und neben der Möglichkeit zur Remote-Ausführung von Code ach gleich noch die Passwörter eines integrierten Passwortmanagers präsentiert werden. Besonders krass ist das Ganze dann, wenn ein Sicherheitsforscher gerade einmal 30 Sekunden benötigt, um die erste von vielen Lücken zur Remote-Code-Ausführung zu entdecken. Das Problem ist offensichtlich der Passwortmanager, der im Produkt von Trend Micro integriert ist.

Denn auch wenn der Passwortmanager nicht vom Nutzer aktiviert ist, kann er als Einfallstor für Angreifer dienen. Die, die ihn sogar nutzen, geben etwaigen Angreifern auch gleich einen ziemlich direkten Blick auf ihre gespeicherten Passwörter, wenngleich diese gehashed sind. Dafür liegen die zugehörigen Domains im Klartext vor. Für Angreifer quasi ein Silbertablett, auf dem alles präsentiert wird.

trendmicro

Tavis Ormandy, ein Forscher bei Googles Project Zero-Team, entdeckte diese Schlamperei, anders kann man so ein Produkt kaum noch nennen, das selbst nach einem schnell zusammengeschusterten Fix noch mehr als 70 Angriffspunkte aufweist. Wie gravierend die Lücken sind, versuchte Ormandy zu erklären, forderte Trend Micro auf, die Funktion sofort bei den Nutzern zu deaktivieren und sie nicht weiter dem Risiko ausgesetzt zu lassen:

So this means, anyone on the internet can steal all of your passwords completely silently, as well as execute arbitrary code with zero user interaction. I really hope the gravity of this is clear to you, because I’m astonished about this.

In my opinion, you should temporarily disable this feature for users and apologise for the temporary disruption, then hire an external consultancy to audit the code. In my experience dealing with security vendors, users are quite forgiving of mistakes if vendors act quickly to protect them once informed of a problem, I think the worst thing you can do is leave users exposed while you clean this thing up. The choice is yours, of course.

Diese Aussage steht etwas im Widerspruch zu Trend Micros eigener Aussage, dass alle Lücken geschlossen seien. Auf dem Unternehmensblog ist dazu eine Stellungnahme zu lesen:

The most important thing to know is that the critical vulnerabilities in the public report have been fixed for all Trend Micro Password Manager customers. We released a mandatory update through Trend Micro’s ActiveUpdate technology on January 11, 2016 that fixes these problems: all customers should have that now. It’s important to note that for Trend Micro Password Manager, ActiveUpdates cannot be turned off which means that all current Trend Micro Password Manager customers get all updates provided through ActiveUpdate. For all intents and purposes, the reported critical vulnerabilities affect an old, no-longer available version of Trend Micro Password Manager.

Trend Micro ist allerdings nicht der erste AV-Hersteller, der von Ormandy bloßgestellt wird. Es traf in der Vergangenheit auch die anderen großen Kandidaten, wie Sophos, Kaspersky, AVG und FireEye. Das entschuldigt natürlich nicht die Lücken in der Trend Micro Sicherheitslösung, zeigt aber, dass auch Sicherheitslösungen nicht immer nur Sicherheit bringen. Besonders schlimm ist in diesem Fall, dass selbst eine Nichtnutzung des Passwortmanagers nicht vor den Lücken schützt, die dieser mitbringt.

Im Prinzip weiß man nun nicht, ob die Produkte noch gefährdet sind oder nicht. Da die Lücken erst am 5. Januar bekannt wurden, kann ich mir nicht vorstellen, dass alle geschlossen sind, wenn sie tatsächlich so zahlreich auftraten. Davon kann man aber ausgehen, Ormandy ist ja kein Unbekannter. Sehr unschöne Sache, vor allem, wenn sie nicht schnell und zufriedenstellend gelöst wird.

(Quelle: ArsTechnica)


Anzeige: Infos zu neuen Smartphones, Tablets und Wearables sowie zu aktuellen Testberichten, Angeboten und Aktionen im Huawei News Hub.

Über den Autor: Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Sascha hat bereits 7747 Artikel geschrieben.