Dans quelle mesure les produits de sécurité sont-ils sûrs? Premier AVG, maintenant TrendMicro avec des défauts majeurs

• Catégorie: Sécurité

Essayez Notre Instrument Pour Éliminer Les Problèmes

Sélectionnez Le Système D'Exploitation Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Choisissez Un Programme De Projection (Éventuellement) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Décrivez Votre Problème

Obtenez Une Réponse

Envoyez-Moi Par E-Mail Montrer Sur Le Site

Le chercheur de Google Tavis Ormandy a récemment découvert une faille majeure dans le composant de gestionnaire de mots de passe de TrendMicro Antivirus pour Windows qui présentait plusieurs problèmes de sécurité majeurs qui permettraient, entre autres, aux sites Web d'exécuter des commandes arbitraires, d'exposer tous les mots de passe stockés ou d'exécuter un navigateur sécurisé. «ce n'est pas du tout sûr.

Il semblerait que Google enquête actuellement sur les produits de sécurité sous Windows, et là surtout ceux qui interagissent d'une manière ou d'une autre avec le navigateur Web Chrome ou Chromium.

L'entreprise a fait honte ouvertement à AVG début janvier pour son extension Web TuneUp pour Chrome car des failles de sécurité mettent en danger les 9 millions d'utilisateurs de Chrome qui l'utilisent.

TuneUp, installé avec le logiciel de sécurité AVG ou séparément, met les utilisateurs de Chrome en danger en désactivant la `` sécurité Web '' pour les utilisateurs de Chrome qui ont installé l'extension.

AVG a finalement produit un correctif (il a fallu deux tentatives pour cela, la première a été rejetée car elle n'était pas suffisante).

Problème de sécurité de TrendMicro Password Manager

Et maintenant c'est Trend Micro qui est ouvertement humilié par Google. Selon Ormandy, le composant Password Manager est cette fois le coupable qui est installé automatiquement avec TrendMicro Antivirus pour Windows et s'exécute au démarrage ( et également disponible en tant que programme et application autonomes).

Ce produit est principalement écrit en JavaScript avec node.js et ouvre plusieurs ports HTTP RPC pour gérer les demandes d'API.

Il a fallu environ 30 secondes pour en repérer un qui autorise l'exécution de commandes arbitraires, openUrlInDefaultBrowser, qui mappe finalement à ShellExecute ().

Cela signifie que tout site Web peut lancer des commandes arbitraires [..]

Dans une réponse à un employé de TrendMicro Ormandy a ajouté les informations suivantes:

Hé, je voulais juste vérifier s'il y a une mise à jour ici? C'est trivialement exploitable et découvrable dans l'installation par défaut, et évidemment vermifuge - à mon avis, vous devriez paginer les gens pour que cela soit corrigé.

FWIW, il est même possible de contourner MOTW et de générer des commandes sans aucune invite. Un moyen simple de le faire (testé sur Windows 7) serait de télécharger automatiquement un fichier zip contenant un fichier HTA, puis de l'appeler [..]

La première version que TrendMicro a envoyée à Travis Ormandy pour vérification a résolu l'un des problèmes majeurs du programme (l'utilisation de ShellExecute), mais cela n'a pas résolu les autres problèmes repérés lors de l'examen approximatif du code.

Ormandy a noté par exemple que l'une des API utilisées par TrendMicro a engendré `` une ancienne '' version de Chromium (version 41 du navigateur qui est maintenant disponible en version 49) et qu'elle désactiverait le bac à sable du navigateur en plus de cela pour offrir un `` navigateur sécurisé »à ses utilisateurs.

Sa réponse à TrendMicro était directe:

Vous étiez juste en train de cacher les objets globaux et d'appeler un shell de navigateur ...? ... puis en l'appelant 'Secure Browser'?!? Le fait que vous exécutiez également une ancienne version avec --disable-sandbox ne fait qu'ajouter une insulte à la blessure.

Je ne sais même pas quoi dire - comment pouvez-vous activer cette chose * par défaut * sur toutes les machines de vos clients sans obtenir un audit d'un consultant en sécurité compétent?

Enfin, Ormandy a découvert que le programme offrait une «belle API propre pour accéder aux mots de passe stockés dans le gestionnaire de mots de passe», et que n'importe qui pouvait simplement lire tous les mots de passe stockés ».

Les utilisateurs sont invités lors de l'installation à exporter les mots de passe de leur navigateur, mais c'est facultatif. Je pense qu'un attaquant peut le forcer avec l'API / exportBrowserPasswords, donc même cela n'aide pas. J'ai envoyé un e-mail indiquant ceci:

À mon avis, vous devriez désactiver temporairement cette fonctionnalité pour les utilisateurs et vous excuser pour la perturbation temporaire, puis engager un consultant externe pour auditer le code. D'après mon expérience avec les fournisseurs de sécurité, les utilisateurs pardonnent assez les erreurs si les fournisseurs agissent rapidement pour les protéger une fois informés d'un problème, je pense que la pire chose que vous puissiez faire est de laisser les utilisateurs exposés pendant que vous nettoyez cette chose. Le choix vous appartient, bien sûr.

Le problème ne semble pas avoir été complètement résolu au moment de la rédaction de cet article, malgré les efforts de TrendMicro et plusieurs correctifs que la société a produits au cours des deux derniers jours.

Logiciel de sécurité intrinsèquement non sécurisé?

La principale question qui devrait en découler est «dans quelle mesure les produits de sécurité sont-ils sécurisés? Deux problèmes majeurs dans deux produits par des acteurs majeurs du domaine des antivirus sont préoccupants, d'autant plus qu'il est possible qu'ils ne soient pas les seuls à ne pas avoir sécurisé correctement leurs propres produits.

Pour les utilisateurs finaux, il est presque impossible de dire que quelque chose ne va pas, ce qui les laisse dans une situation précaire. Peuvent-ils faire confiance à leur solution de sécurité pour protéger leurs données, ou est-ce le logiciel même qui devrait sécuriser leurs ordinateurs qui les met en danger?