Пользователи, установившие антивирус Trend Micro на своих ПК под управлением Windows, вынуждены остерегаться возможного хищения паролей. Ввиду критической уязвимости данного антивируса компьютер может быть удаленно заражен любым вредоносным ПО. Уязвимость позволяет злоумышленникам выполнять удаленно произвольные команды, а кроме того, похищать пароли из встроенного в антивирусный продукт менеджера паролей.
Технически компонент Trend Micro Antivirus Password Manager запускает Node.js на локальном ПК каждый раз при запуске антивируса. В ходе анализа этого компонента было обнаружено, что сервер Node.js оставляет открытыми много портов HTTP RPC, используемых для обработки запросов API. Кроме того, оказалось, что менеджер паролей Trend Micro открывает более 70 API через тот же Node.js.
Используя эти особенности, злоумышленники могли обрабатывать злонамеренные ссылки, позволяющие им выполнять произвольный код на локальном компьютере, не взаимодействуя с пользователем вообще. Фактически атакующий мог легко удаленно загрузить вредоносный код и выполнить его на вашем ПК без вашего ведома.
Как и в случаях с Lenovo Superfish и Dell eDellRoot, Trend Micro добавляет самоподписанный сертификат безопасности в хранилище сертификатов пользователя, чтобы он не видел ошибок HTTPS. Это позволяет прервать зашифрованный трафик для каждого сайта, посещаемого пользователем.
Trend Micro выпустила срочное обновление, чтобы устранить критическую уязвимость в антивирусном продукте.
Автор статьи — MVP Consumer Security, Microsoft Security Trusted Advisor.