Trend Micro Passwordmanager mit schwerem Sicherheitsleck

Der Passwordmanager, der zusammen mit Trend Micro AntiVirus installiert wird, leidet offenbar an einem schwerwiegendem Sicherheitsleck, das das Einschleusen und Ausführen von Schadcode verlaubt. Tavis Ormandy von Googles Project Zero, der den Bug entdeckt hat, stuft das Leck auch nach der Bereitstellung eines Patches durch Trend Micro weiterhin als unsicher ein.

Der Sicherheitsforscher erklärt, dass der Manager auf JavaScript und node.js basiert. Der Manager startet darüber hinaus einen lokalen Webserver und warte auf API-Befehle. Allerdings schränkt das Programm den Zugriff auf diesen nicht über eine Whitelist oder eine Same Origin Policy ein. Oramndy habe laut eigenen Angaben nur etwa 30 Sekunden benötigt, um eine Programmierschnittstelle (API) zu finden, die das ausführen beliebiger Befehle erlaubt.

“Es ist sogar möglich MOTW (Mark of the Web) zu umgehen und Befehle ohne jegliche Kommandozeile aufzurufen”, schreibt Ormandy. Auch nach Installation des von Trend Micro veröffentlichten Fix seien noch fast 70 API-Aufrufe des Passwortmanagers vom Web aus erreichbar.

Ormandy kritisiert zudem, dass ein API-Aufruf eine veraltete Chromium-Version anspricht, und zwar mit deaktivierter Sandbox. Der User Agent des Browsers trage trotzdem den Zusatz “Secure Browser”. “Ich habe ihnen per E-Mail mitgeteilt: ‘Das ist das Lächerlichste, was ich je gesehen habe'”, ergänzte Ormandy. “Ich weiß nicht, was ich sagen soll. Wie kann man dieses Ding ab Werk auf den Rechnern aller Kunden aktivieren, ohne es von einem kompetenten Sicherheitsberater prüfen zu lassen?”

Die Tests des Forschers hätten zudem gezeigt, dass der Passwortmanager einem Angreifer unter Umständen alle gespeicherten Passwörter preisgibt. “Jeder im Internet kann vollkommen unbemerkt alle Passwörter stehlen und auch ohne Interaktion mit dem Nutzer beliebigen Code ausführen. Ich hoffe wirklich, dass Ihnen die Auswirkungen klar sind, weil mich das sehr erstaunt”, schrieb Ormandy an Trend Micro.

Eine weitere Schwachstelle ist ein von Trend Micro installiertes selbst signiertes Zertifikat für die HTTP-Verschlüsselung. “Trend Micro fügt ein selbst signiertes HTTPS-Zertifikat für den Localhost zum Trust Store hinzu, damit sie nicht auf irgendwelche Sicherheitswarnungen klicken müssen”, kommentiert Ormandy. Vergleichbare Fehler waren zuletzt den Hardwareherstellern Lenovo, Toshiba und Dell unterlaufen.

Schon im September 2015 hatte Ormandy Details zu Sicherheitslücken in der Antivirensoftware des russischen Anbieters Kaspersky enthüllt. Betroffen waren damals die Versionen 15 und 16 von Kaspersky Antivirus. Ormandy hatte bei seinen Versuchen gezeigt, dass solche Lücken nicht nur theoretisch, sondern auch in der Praxis ausgenutzt werden können.

[mit Material von Stefan Beiersmann, ZDNet.de]

Martin Schindler

Martin Schindler schreibt nicht nur über die SAPs und IBMs dieser Welt, sondern hat auch eine Schwäche für ungewöhnliche und unterhaltsame Themen aus der Welt der IT.

Recent Posts

Worauf es bei der Banken-IT besonders ankommt

Finanzinstitute unterliegen strengen Auflagen, wenn es um die Digitalisierung geht. Doch der Finanzbereich kommt an…

1 Stunde ago

Patentstreit zwischen Apple und Ericsson eskaliert

Apple reagiert auf Ericssons Klagen mit einer eigenen ITC-Beschwerde. Das Unternehmen aus Cupertino bekundet aber…

3 Tagen ago

Google fordert sichere Rahmenbedingungen für Datenaustausch zwischen USA und EU

Googles Chief Legal Officer kritisiert in einem Blogeintrag die Datenschutzgrundverordnung. Auslöser ist eine Entscheidung aus…

3 Tagen ago

Samsung stellt am 8. Februar Galaxy S 22 vor

Ein Teaser-Video bestätigt Gerüchte, wonach Samsung die Note-Serie mit der Galaxy-S-Serie zusammenlegt. Samsung verspricht zudem…

3 Tagen ago

ISG-Studie: Intelligente Prozessautomatisierung in Deutschland

Die Nachfrage nach Automatisierungslösungen und -dienstleistungen, die unternehmensübergreifende Use Cases ermöglichen, steigt.

3 Tagen ago

NetApp-Umfrage: Die Zukunft ist hybrid

Für die Kundenumfrage hat NetApp weltweit 79 große und mittelständische Unternehmen aus verschiedenen Branchen befragt. So wollen…

4 Tagen ago