Ejecución remota de comandos en productos Trend Micro
jueves, 31 de marzo de 2016
Una vez más sale a la luz una vulnerabilidad reportada por Project Zero de Google. En esta ocasión diversos productos Trend Micro se ven afectador por un sencillo problema que podría permitir la ejecución remota de comandos arbitrarios.
Tavis Ormandy, el conocido investigador de Google, ha descubierto un stub remoto de depuración de Node.js en los productos Trend Micro Maximum Security, Premium Security y Password Manager. El propio Tavis ha calificado el fallo como ridículo.
Un stub es una clase que implementa la interfaz remota de forma que cualquiera puede utilizarla como si se tratara de una local. Básicamente se trata de un servidor que implementa ciertos métodos sobre los cuales se puede ejecutar código Javascript. Este tipo de sistema es usado en labores de depuración pero, tal y como suele ser habitual en este tipo de funcionalidad, su explotación suele ser trivial mientras que su impacto puede llegar a ser crítico si este servicio llega a publicarse en producción.
De forma que para explotar el fallo basta con realizar algo similar:
http://localhost:Puerto/json/new/?javascript:require(‘child_process’).spawnSync(‘calc.exe’)
Basta un sencillo bucle para encontrar el puerto en el que el stub se encuentra a la escucha.
El problema se reportó a Trend Micro el 22 de marzo, que reaccionó rápidamente y publicó un parche temporal el día 30. Según el investigador, en determinadas circunstancias, aun con el parche provisional instalado, podría seguir siendo vulnerable. De todas formas, dada la gravedad del problema, Trend Micro ha publicado ya versiones actualizadas y trabaja en una versión definitiva.
No es la primera vez que Tavis Ormandy centra sus descubrimientos en productos de seguridad, incluyendo Kaspersky, FireEye, ESET o Sophos.
El pasado septiembre, el investigador también avisó de fuertes evidencias de la existencia de un mercado negro muy activo en vulnerabilidades en productos de seguridad. Por esta razón consideraba que los fabricantes de productos de seguridad tienen la responsabilidad de mantener los más altos estándares de desarrollo seguro para minimizar el posible daño potencial causado por su software.
Más información:
TrendMicro: A remote debugger stub is listening in default install
https://bugs.chromium.org/p/project-zero/issues/detail?id=773
una-al-dia (08/09/2015) Polémicos anuncios de vulnerabilidades en productos Kaspersky y FireEye
http://unaaldia.hispasec.com/2015/09/polemicos-anuncios-de-vulnerabilidades.html
una-al-dia (29/09/2015) Múltiples vulnerabilidades en productos Kaspersky
http://unaaldia.hispasec.com/2015/09/multiples-vulnerabilidades-en-productos.html
Analysis and Exploitation of an ESET Vulnerability
http://googleprojectzero.blogspot.com.es/2015/06/analysis-and-exploitation-of-eset.html
Sophail: Applied attacks against Sophos Antivirus
https://lock.cmpxchg8b.com/sophailv2.pdf
Kaspersky: Mo Unpackers, Mo Problems.
http://googleprojectzero.blogspot.com.es/2015/09/kaspersky-mo-unpackers-mo-problems.html
Antonio Ropero
Twitter: @aropero
