Im Rahmen von umfangreichen Tests ist Tavis Ormandy von Googles Project Zero auf eine gefährliche Sicherheitslücke in Trend Micros Passwortmanager gestoßen. Das Tool wird zusammen mit der AntiVirus-Software des Unternehmens installiert und erlaubt Angreifern das Aufspielen und Ausführen von Schadcode.
Wie Ormandy berichtet, startet der Passwortmanager nach der Installation einen lokalen Webserver und wartet auf API-Befehle. Diese werden weder per Same Origin Policy noch per Whitelist eingeschränkt. Ormandy selbst habe eine Programmierschnittstelle zum Einschleusen von Schadcode in weniger als einer Minute gefunden. Wie der Forscher in seinem Bericht erklärt, sei es ihm sogar gelungen Mark of the Web (MOTW) zu umgehen und „Befehle ohne Kommandozeile aufzurufen“.
Trend Micro hat bereits auf die Schwachstelle reagiert und einen Patch veröffentlicht. Doch selbst nach dessen Installation ist der Passwortmanager laut Ormandy noch als unsicher einzustufen. Fast 70 API-Aufrufe sind noch vom Internet aus möglich. Diese Aufrufe würden laut Ormandy zudem eine veraltete Chromium-Version mit deaktivierter Sandbox ansprechen.
Sicher surfen – diese Tools verwandeln Ihren Rechner in ein Fort Knox
Hat es ein Angreifer auf den unsicheren Passwortmanager abgesehen, könnte es ihm ohne große Umstände gelingen, dem Tool alle Passwörter des Nutzers zu entlocken. Das haben Ormandys Tests ergeben. Der Diebstahl kann völlig unbemerkt und ohne Interaktion mit dem PC-Besitzer geschehen.
Beim Passwortmanager ist jedoch noch nicht Schluss. Laut Ormandy findet sich auch in einem von Trend Micro installierten selbst signierten HTTP-Verschlüsselungszertifikat eine Lücke. Ein ähnliches Problem wurde kürzlich auch bei Dell und Lenovo entdeckt. In einer E-Mail an Trend Micro drängt Ormandy auf die schnelle und vor allem gründliche Schließung der Lücken.