Quão seguros são os produtos de segurança? Primeiro AVG, agora TrendMicro com grandes falhas

O pesquisador do Google Tavis Ormandy descobriu recentemente uma grande falha no componente gerenciador de senhas do TrendMicro Antivirus para Windows que apresentava vários problemas de segurança importantes que, entre outras coisas, permitiriam que sites executassem comandos arbitrários, exponham todas as senhas armazenadas ou executassem um navegador seguro 'isso não é seguro de todo.



Parece que o Google está investigando produtos de segurança no Windows, especialmente aqueles que interagem com o navegador Chrome ou Chromium de uma forma ou de outra.

A empresa envergonhou a AVG abertamente no início de janeiro para sua extensão Web TuneUp para Chrome, pois as falhas de segurança colocam em risco os 9 milhões de usuários do Chrome que o usam.

O TuneUp, instalado com o software de segurança AVG ou separadamente, coloca os usuários do Chrome em risco ao desativar a 'segurança da web' para os usuários do Chrome que instalaram a extensão.



O AVG acabou produzindo uma correção (foram necessárias duas tentativas para isso, a primeira foi rejeitada por não ser suficiente).

Problema de segurança do TrendMicro Password Manager

E agora é a Trend Micro que é envergonhada abertamente pelo Google. De acordo com Ormandy, o componente Password Manager é o culpado desta vez, que é instalado automaticamente com o TrendMicro Antivirus para Windows e é executado na inicialização ( e também disponível como um programa e aplicativo autônomo).

Este produto foi escrito principalmente em JavaScript com node.js e abre várias portas HTTP RPC para lidar com solicitações de API.



Demorou cerca de 30 segundos para localizar um que permite a execução arbitrária de comandos, openUrlInDefaultBrowser, que eventualmente mapeia para ShellExecute ().

Isso significa que qualquer site pode lançar comandos arbitrários [..]

Em resposta a um funcionário da TrendMicro Ormandy adicionou as seguintes informações:



Ei, só queria verificar se há alguma atualização aqui? Isso é trivialmente explorável e detectável na instalação padrão e, obviamente, pode ser alterado - na minha opinião, você deve chamar as pessoas para consertar isso.

FWIW, é ainda possível ignorar MOTW e gerar comandos sem qualquer solicitação. Uma maneira fácil de fazer isso (testado no Windows 7) seria fazer o download automático de um arquivo zip contendo um arquivo HTA e, em seguida, invocá-lo [..]



A primeira compilação que a TrendMicro enviou para Travis Ormandy para verificação corrigiu um dos principais problemas do programa (o uso de ShellExecute), mas isso não resolveu os outros problemas detectados durante o exame preliminar do código.

Trend Micro-2016-01-07-16-21-51

Ormandy observou, por exemplo, que uma das APIs usadas pelo TrendMicro gerou uma compilação 'antiga' do Chromium (versão 41 do navegador que agora está disponível como versão 49) e que desabilitaria a sandbox do navegador em cima disso para oferecer um ' navegador seguro 'para seus usuários.

Sua resposta ao TrendMicro foi direta:

Você estava apenas escondendo os objetos globais e invocando um shell de navegador ...? ... e então chamá-lo de 'Navegador Seguro'?!? O fato de você também executar uma versão antiga com --disable-sandbox só adiciona um insulto à lesão.

Eu nem sei o que dizer - como você poderia habilitar isso * por padrão * em todas as máquinas de seus clientes sem obter uma auditoria de um consultor de segurança competente?

Por último, mas não menos importante, Ormandy descobriu que o programa oferecia uma 'API limpa e agradável para acessar senhas armazenadas no gerenciador de senhas' e que qualquer pessoa pode simplesmente ler todas as senhas armazenadas '.

Os usuários são solicitados na instalação a exportar as senhas do navegador, mas isso é opcional. Acho que um invasor pode forçá-lo com a API / exportBrowserPasswords, então nem isso ajuda. Enviei um e-mail apontando isso:

Na minha opinião, você deve desabilitar temporariamente esse recurso para os usuários e pedir desculpas pela interrupção temporária e, em seguida, contratar uma consultoria externa para auditar o código. Na minha experiência ao lidar com fornecedores de segurança, os usuários perdoam os erros se os fornecedores agirem rapidamente para protegê-los assim que forem informados de um problema. Acho que a pior coisa que você pode fazer é deixar os usuários expostos enquanto você limpa isso. A escolha é sua, é claro.

O problema parece não ter sido completamente corrigido no momento da escrita, apesar dos esforços da TrendMicro e de vários patches que a empresa produziu nos últimos dias.

Software de segurança inerentemente inseguro?

A principal questão que deve surgir é 'quão seguros são os produtos de segurança'? Dois problemas principais em dois produtos, por parte de grandes players no campo de antivírus, são motivo de preocupação, especialmente porque há uma chance de que eles não sejam os únicos que parecem não ter protegido seus próprios produtos adequadamente.

Para os usuários finais, é quase impossível dizer que algo está errado, o que os deixa em uma situação precária. Eles podem confiar em sua solução de segurança para manter seus dados protegidos ou é o próprio software que deve proteger seus computadores que os está colocando em risco?