Исследователь команды Google Project Zero Тэвис Орманди (Tavis Ormandy) обнаружил очередной бэкдор в продуктах компании Trend Micro. Речь идет о следующих решениях: Trend Micro Antivirus, Maximum Security, Premium Security и Password Manager. Суть
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
заключается в следующем: удаленная служба отладки Node.js запускается по умолчанию и слушает на интерефейсе localhost.Ошибка позволяет удаленному пользователю с помощью специально сформированной web-страницы обратиться к отладочной службе и выполнить произвольные команды на системе с привилегиями учетной записи SYSTEM. Поскольку прослушиваемые порты могут меняться, атакующему потребуется осуществить брутфорс-атаку и подобрать правильный номер порта.
Тэвис Орманди опубликовал PoC-код, запускающий калькулятор при посещении специально сформированного сайта:
Код:
http://localhost:50820/json/new/?javascript:require('child_process').spawnSync('calc.exe')"
В январе нынешнего года Орманди обнаружил похожую проблему в антивирусе Trend Micro. Тогда речь шла о компоненте Password Manager в Trend Micro Antivirus для Windows. Как оказалось, менеджер паролей открывал несколько HTTP RPC-портов, позволяющих выполнить произвольные команды. В настоящее время ошибка уже устранена.