Обнаружен бэкдор антивирусе Trend Micro


Trend MicroИсследователем из Google Project Zero был обнаружен очередной бэкдор в продуктах компании Trend Micro. Вредоносный код был выявлен в следующих решениях:

  • Trend Micro Antivirus;
  • Maximum Security;
  • Premium Security;
  • Password Manager.

Суть уязвимости в следующем: удаленная служба отладки Node.js запускается по умолчанию и слушает на интерфейсе localhost.

Эксплуатация уязвимости позволяет удаленному пользователю обратиться к отладочной службе и выполнить произвольные команды на системе с привилегиями учетной записи SYSTEM. Для этого злоумышленнику достаточно использовать специально сформированную web-страницу. А поскольку прослушиваемые порты могут меняться, то атакующему потребуется осуществить брутфорс-атаку и подобрать правильный номер порта.

Для примера исследователь опубликовал PoC-код, запускающий калькулятор при посещении специально сформированного сайта:

  • http://localhost:50820/json/new/?javascript:require('child_process').spawnSync('calc.exe')"


Компания Trend Micro была уведомлена об ошибке 19 марта 2016 года. 30 марта компания выпустила временный патч. Финальную версию патча компания опубликует через несколько недель. В настоящее время свидетельств активной эксплуатации уязвимости нет.

Напомним, данная уязвимость в продуктах Trend Micro не первая. В январе нынешнего года похожая проблема была обнаружена в компоненте Password Manager в Trend Micro Antivirus для Windows. Оказалось, что менеджер паролей открывал несколько HTTP RPC-портов, позволяющих выполнить произвольные команды. В настоящее время ошибка уже устранена.


Обновлено (02.04.2016 19:45)