Trend Micros Passwortmanager könnte Schadcode Huckepack nehmen
Ein Sicherheitsupdate schließt zwei Lücken im Passwortmanager von Trend Micro. Keine der Schwachstellen gilt als kritisch.
(Bild: geralt)
Wer den Passwortmanager 2019 (Version 5.0) von Trend Micro unter Windows nutzt, sollte sicherstellen, dass die Version aktuell ist. Die Anwendung kann man separat installieren, sie ist aber auch Teil von Trend Micro Security 2019. Das Sicherheitsupdate sollte sich automatisch installieren.
Wer den Passwortmanager nicht aktualisiert, läuft Gefahr, dass Angreifer Schadcode auf Computer ausführen könnten. Das Angriffsszenario ist nicht ganz klar. Es sieht aber so aus, dass ein Angreifer für einen erfolgreichen Übergriff Zugriff auf einen verwundbaren Computer haben muss oder er muss ein Opfer dazu bringen, eine präparierte Datei zu speichern.
Ist das gegeben, könnten DLL-Hijacking-Angriffe stattfinden, erläutert Trend Micro in einer Warnung. Sie stufen das von den Schwachstellen (CVE-2019-14684, CVE-2019-14687) ausgehen Risiko als "mittel" ein. Abgesichert ist die Version 5.0.0.1058.
Angriffspunkt
Das Sicherheitsrisiko soll der "Trend Micro Password Manager Central Control Service" (PwmSvc.exe) darstellen. Dieser startet nach vollendetem Bootvorgang eines Computers automatisch, führen Sicherheitsforscher von SafeBreach in einem Beitrag aus.
Problematisch dabei ist, dass der von Trend Micro signierte Prozess mit den höchstmöglichen Nutzerrechten (NT AUTHORITY\SYSTEM) läuft und nach einer nicht auf dem System vorhanden DLL-Datei sucht. Kann sich ein Angreifer dort einklinken, hat er quasi einen Freifahrtschein für Schacode auf System-Ebene.
In ihrem Beitrag beschreiben die Sicherheitsforscher ausführlich, wie sie dem Prozess eine präparierte unsignierte DDL-Datei unterschieben und anschließend innerhalb des von Trend Micro signierten Prozesses eigenen Code mit System-Rechten ausführen konnten. Startet PwmSvc.exe nach einer Kompromittierung, startet auch jedes Mal potenzieller Schadcode. (des)
