Trend-Micro-Produkte öffneten triviale Hintertür
Antiviren-Software soll das System vor bösartiger Software schützen. Immer öfter stellt sich jedoch heraus, dass sie selbst als Einfallstor dienen kann. Ein Sicherheitsexperte demonstriert das zum wiederholten Mal mit Trend Micros Security-Produkten.
Stellen Sie sich vor, sie verkaufen Software, die die PCs Ihrer Kunden vor Angriffen Krimineller schützen soll. Stellen Sie sich weiter vor, dass Ihnen ein Sicherheitsexperte demonstriert, dass Ihr Produkt den Rechner statt dessen unsicherer macht, indem es eine ganz einfach auszunutzende Hintertür auf dem PC installiert. Was kann da noch schlimmeres passieren? Dem Antiviren-Hersteller Trend Micro hat Tarvis Ormandy jetzt innerhalb weniger Monate zum zweiten Mal eine solche Hintertür in der Default-Installation seiner Software nachgewiesen.
"Das ist irrwitzig", leitet Googles Ormandy denn auch seinen Fehlerbericht zu den löchrigen Trend-Micro-Produkten ein. Offenbar enthalten die Security-Lösungen für Windows Software eines Drittherstellers, der als eine Art Debug-Schnittstelle einen Dienst auf dem System einrichtet. Dem kann man JavaScript-Code überreichen und der wird dann von der Schutz-Software auf dem System ausgeführt. Ein Angreifer könnte das auf einer Web-Seite ganz einfach ausnutzen, indem er Image-Tags der folgender Form einbettet:
<img src="http://localhost:40000/json/new
/?javascript:require('child_process').spawnSync('calc.exe'...
(Bild: Google/Ormany)
Dieses harmlose Beispiel startet nur den Taschenrechner auf dem Rechner des Trend-Micro-Nutzers; ein Krimineller würde es für einen Drive-by-Download nutzen, der etwa einen Erpressungs-Trojaner installiert. In der Praxis ist das nicht ganz so trivial, weil der Angreifer nicht weiß, auf welchem Port der Debugging-Dienst lauscht. Das lässt sich aber etwa mit einem kleinen Skript leicht herausfinden, wie Ormany ebenfalls demonstriert.
Vorläufig gestopft
Betroffen sind laut Ormandy Trend Micro Maximum Security, Premium Security und der Trend Micro Password Manager, der bei einer Reihe von Produkten mitinstalliert wird und im Januar bereits mit einer sehr ähnlichen Hintertür auffällig wurde. Der Hersteller hat das Problem zunächst durch eine Patch entschärft, der aktuell über die Update-Funktion verteilt wird. Darüber hinaus will man den Code aber noch genauer untersuchen und eine gründlichere Lösung nachreichen. Auf Trends Seite mit Security Advisories finden sich zwar Hinweise zu kritischen Android-Lücken, zu Locky und Petya, aber bislang keine Informationen zur Bedrohung durch Lücken in Trend-Micro-Produkten und wie man sich davor schützen kann.
Spekulationen zu Geheimdienst-Backdoors kann man sich in diesem Fall wohl schenken. Diese Hintertür ist viel zu einfach aufzuspüren und auszunutzen, als dass sie etwas anderes als Nachlässigkeit sein könnte. Ob das Trend-Micro-Kunden jedoch beruhigt?
Update 18:00 31.3.2016: Trend Micro erklärte auf Nachfragen, dass der betroffene Passwort Manager nur in den Consumer-Produkten "Maximum Security" und "Premium Security" enthalten ist. Antivirus+ Security, Internet Security und die Produkte für den Firmenmarkt wie Trend Micro OfficeScan seien somit nicht betroffen. (ju)
