Орманди, занимающийся аудитом популярных антивирусных продуктов, обратил внимание на один из компонентов Trend Micro AV — менеджер паролей, написанный на JavaScript с использованием node.js. Оказалось, что он открывает несколько HTTP RPC-портов, позволяющих выполнять произвольные команды! Это означает, что любой веб-сайт способен запустить на машине пользователя скрипт, который, например, может стереть всю информацию на диске, установить другую вредоносную программу из внешней сети или или просто-напросто удалить тот же самый антивирус.
Я потратил около 30 секунд, чтобы понять, что это позволяет выполнить команду, openUrlDefaultBrowser, которая в конечном итоге запускает ShellExecute()
x = new XMLHttpRequest()
x.open("GET", "https://localhost:49155/api/openUrlInDefaultBrowser?url=c:/windows/system32/calc.exe true);
try { x.send(); } catch (e) {};
Копнув еще глубже, Орманди обнаружил, что менеджер паролей настолько плох, что допускает кражу всех паролей, даже если они зашифрованы.
На данный момент компания Trend Micro заявила, что исправила уязвимость, рекомендуется всем пользователям обновить свои антивирусы.
Комментарии (15)
Klukonin
12.01.2016 09:03+27менеджер паролей, написанный на JavaScript с использованием node.js.
После этой фразы уже заподозрил неладное.
ikorolev
12.01.2016 10:58+13О, это ж один из популярных корпоративных антивирусов. Встречался с ним в одной конторе. Особенно доставляет, что корпоративная политика нещадна в отношении всех, будь ты водитель, бухгалтер, разработчик или системный архитектор. Например, невозможно развернуть демо-сервер на ноутбуке, чтобы отвезти клиенту и показать, как работает решение на его территории с его оборудованием. В большой международной корпорации почти нереально добиться, что бы кто-то кому-то зачем-то что-то перенастроил. В итоге убивалось это уныние довольно просто: в процесс посылалось событие о том, что операционка ухотит в шатдаун, и тот самостоятельно и без шума убивался.
Arthur
12.01.2016 14:03+8Порадовало в коде эксплойта:
Command: <input id="command" value="C:/PROGRA~1/TRENDM~1/Titanium/Remove.exe" size="64"> <p> <a href="javascript:begin()">Click Here</a> to run the command above (the default will uninstall Trend Micro Maximum).
icoz
13.01.2016 20:38<сарказм> Ну он же антивирус, а не антишпион. Что вы к маленькому пристали? </сарказм>
IRainman
Да не то слово — «это волшебно», как любит говорить мой преподаватель по физике Плис Валерий Иванович.
Akr0n
Самое цензурное, что пришло на ум…