Trend Micro, ou l’arroseur arrosé (Noyé)

Tavis Ormandy continue sa croisade contre les éditeurs d’antivirus et accroche aujourd’hui Trend Micro à son tableau de chasse. Le chercheur alerte sur la présence de multiples ports HTTP RPC, utilisés pour exécuter des requêtes d’API, laissés ouverts et accessibles par d’éventuels attaquants dans l'outil de gestion des mots de passe proposé par défaut aux utilisateurs de l'antivirus Trend Micro.

Celui-ci explique dans son bug report avoir mis moins de 30 secondes avant de trouver un port capable d’envoyer des données dans un terminal de commande, et donc d’exécuter du code malveillant sur la machine de la cible.

Le port en question étant un port HTTP, ce type d’attaque est donc envisageable à distance, simplement via la visite d’un site web contenant du code exploitant cette faille de sécurité.

En cherchant un peu plus loin, Tavis Ormandy a également découvert d’autres failles dans le code de l’application permettant à un utilisateur de dérober les mots de passes stockées au sein du gestionnaire, et ce même si les mots de passe ont été chiffrés par l’utilisateur. Le chercheur explique également qu’environ 70 API sont publiquement accessibles grâce au programme, ce qui ouvre la voie à de possibles nouvelles failles de sécurité.

Tavis Ormandy est un chercheur appartenant à l’équipe Google Zero. Celui-ci est particulièrement connu pour avoir décelé des failles majeures dans de nombreuses solutions antivirus : Sophos, Kaspersky ou encore AVG et FireEye ont notamment déjà eu affaire à des failles critiques découvertes par ce chercheur. Les antivirus et outils de sécurité sont en effet dans une position très particulière : ceux-ci nécessitent généralement de fonctionner avec les droits administrateurs sur la machine, ce qui démultiplie l’impact des vulnérabilités trouvées dans ces programmes.

Source : ZDNET