Trend Micros Anmelde-Token nicht zufällig genug
Ein Fehler bei der Generierung eines Sicherheits-Token erleichtert Brute-Force-Angriffe auf die Web-Konsole von OfficeScan und Worry Free. Ein Update behebt den Fehler.
- Daniel Bachfeld
Der Sicherheitsdienstleister Secunia hat einen Fehlerbericht über eine Schwachstelle in Trend Micros OfficeScan 8.0 und Worry-Free Business Security 5.0 veröffentlicht, durch die Angreifer leichter die Kontrolle über das Web-Management der Produkte erlangen können. Laut Secunia nutzt die Web-basierte Konfigurationsoberfläche zur Identifizierung eines angemeldeten Admins einen pseudo-zufälligen Token. Die Entropie beruht aber offenbar auf der Zeit des Log-ins des Anwenders.
Mit diesem Wissen sollen Brute-Force-Angriffe zur Ermittlung eines gültigen Tokens wesentlich schneller zum Ziel führen. Der Angreifer könnte sich anschließend mit dem Token an der Weboberfläche anmelden. Laut Bericht soll es dem Angreifer neben der Änderung der Einstellungen auch möglich sein, beliebigen eigenen Code auszuführen.
Betroffen sind neben den genannten Produkten auch Client Server Messaging Security for SMB 3.x und OfficeScan Corporate Edition 7.x. Bislang hat der Hersteller aber nur für OfficeScan 8.0 und Worry-Free Business Security 5.0 Updates bereitgestellt.
Siehe dazu auch:
- Trend Micro Products Web Management Authentication Bypas, Bericht von Secunia
- Trend Micro(TM) OfficeScan(TM) 8.0 Service Pack 1 Critical Patch - Build 2402, Update-Beschreibung von Trend Micro
- Worry-Free Business Security 5.0 - Security Server Critical Patch - Build 1404, Update-Beschreibung von Trend Micro
(dab)
