Nueva vulnerabilidad reportada
por Project Zero de Google. En esta ocasión diversos productos Trend Micro se
ven afectados por un sencillo problema que podría permitir la ejecución remota
de comandos arbitrarios.
Tavis Ormandy, el conocido investigador de Google, ha descubierto un stub remoto de depuración de Node.js en los productos Trend Micro Maximum Security, Premium Security y Password Manager. El propio Tavis ha calificado el fallo como ridículo.
Un stub es una clase que implementa la interfaz remota de
forma que cualquiera puede utilizarla como si se tratara de una local.
Básicamente se trata de un servidor que implementa ciertos métodos sobre los
cuales se puede ejecutar código Javascript. Este tipo de sistema es usado en
labores de depuración pero, tal y como suele ser habitual en este tipo de
funcionalidad, su explotación suele ser trivial mientras que su impacto puede
llegar a ser crítico si este servicio llega a publicarse en producción.
De forma que para explotar el fallo basta con realizar
algo similar:
http://localhost:Puerto/json/new/?javascript:require('child_process').spawnSync('calc.exe')
Basta un sencillo bucle para encontrar el
puerto en el que el stub se encuentra a la escucha.
TrendMicro accidentally left a remote
debugging server running on all customer machines #oops https://t.co/bPLFOrTLBl
— Tavis Ormandy (@taviso) 30 de marzo de 2016
El problema se reportó a Trend Micro el 22 de marzo, que
reaccionó rápidamente y publicó un parche temporal el día 30. Según el
investigador, en determinadas circunstancias, aun con el parche provisional
instalado, podría seguir siendo vulnerable. De todas formas, dada la gravedad
del problema, Trend Micro ha publicado ya versiones actualizadas y trabaja en
una versión definitiva.
No es la primera vez que Tavis Ormandy centra sus descubrimientos en productos de seguridad, incluyendo Kaspersky, FireEye, ESET o Sophos.
El pasado septiembre, el investigador también avisó de
fuertes evidencias de la existencia de un mercado negro muy activo en
vulnerabilidades en productos de seguridad. Por esta razón consideraba que los
fabricantes de productos de seguridad tienen la responsabilidad de mantener los
más altos estándares de desarrollo seguro para minimizar el posible daño
potencial causado por su software.
Más información:
- TrendMicro: A
remote debugger stub is listening in default install https://bugs.chromium.org/p/project-zero/issues/detail?id=773
- Analysis and
Exploitation of an ESET Vulnerability http://googleprojectzero.blogspot.com.es/2015/06/analysis-and-exploitation-of-eset.html
- Sophail: Applied
attacks against Sophos Antivirus https://lock.cmpxchg8b.com/sophailv2.pdf
- Kaspersky: Mo
Unpackers, Mo Problems. http://googleprojectzero.blogspot.com.es/2015/09/kaspersky-mo-unpackers-mo-problems.html