کشف نقص‌های اساسی در ضدبدافزار ترندمیکرو توسط محققان گوگل

اگر شما در حال استفاده از Maximum Security ۱۰ محصول ترندمیکرو برای ویندوز هستید، باید در اسرع وقت آن را به آخرین نسخه‌ی موجود ارتقاء دهید. اگر این کار ر انجام ندهید، رایانه‌ی خود را در خطر سرقت اطلاعات و رمز قرار داده‌اید (اگر در حال استفاده از قابلیت مدیریت رمز که به همراه بدافزار ارائه می‌شود هستید).
این نقص‌‌ها توسط تاویس اورماندی، یک نفوذگر کلاه‌سفید و عضو تیم پروژه‌ی صفر گوگل، کشف شده‌اند، که اخیراً به تجزیه و تحلیل در این مورد پرداخته و اشاره کرده است که یک بازار سیاه بهره‌برداری از نقایص موجود از بدافزارها ایجاد شده است، و چون فروشندگان محصولات امنیتی برای ارائه‌ی بالاترین حد استاندارد توسعه‌ی امنیت مسئول هستند، باید برای به حداقل رساندن لطمه‌ای که به وسیله‌ی نرم‌افزارهای خود ممکن است ایجاد شود تلاش کنند.
در آخرین نمونه، اورماندی کشف کرده است که مؤلفه‌ی مدیریت گذرواژه که در هنگام نصب این بدافزار به صورت پیش‌فرض نصب شده و استفاده می‌شود، چندین درگاه HTTP RPC را برای درخواست های API باز می‌کند.
او اعلام کرده است: «تنها ۳۰ ثانیه طول می‌کشد تا کسی بتواند با اجرای یک دستور خودسرانه UrlInDefaultBrowse را باز کرده و در نهایت به ShellExecute دسترسی یابد.»
این بدان معناست که هر وب‌گاهی می‌تواند دستورات دلخواه را، تنها با ارائه‌ی یک پیوند مخرب صادر کند. اگر مهاجمان موفق به فریب کاربر (که ضدبدافزار Trend Micro solution را نصب کرده است)‌ شوند و کاربر روی این پیوند کلیک کند، کد دلخواه مشخص می‌تواند به صورت خودکار در رایانه‌ی کاربر اجرا شود، و مهاجم راهی به درون سامانه‌ی عامل وی پیدا می‌کند. میزان خسارتی که به کاربر وارد می‌شود، بسته به مهارتی است که مهاجم از خود نشان می‌دهد.
این نقص اجرای کد از راه دور خاص، در آخرین نسخه‌ی این نرم‌افزار اصلاح شده است، اما مشکل مربوط به برنامه‌ی کاربردی مدیریت گذرواژه‌ی ترندمیکرو هنوز هم (تا حدی) باقی مانده است.
اورماندی در میان این APIها، یکی را پیدا کرده است که می‌تواند موجب شود تا نفوذگرها با استفاده از آن به رمزهای عبور ذخیره شده در این برنامه مدیریت رمز عبور دسترسی پیدا کنند.
او می‌گوید: «کاربران در هنگام نصب و راه‌اندازی این نرم‌افزار تشویق می‌شوند تا رمزهای عبور مرورگر خود را به آن وارد کنند، اما این امر اختیاری است. من فکر می‌کنم که یک مهاجم می‌تواند با API به نام exportBrowserPasswords او را به انجام این کار مجبور کند، اینجاست که دیگر نمی‌توان به او کمک کرد.»
او به ترندمیکرو گفته است:‌ «به نظر من شما باید این قابلیت را به صورت موقتی برای کاربران غیرفعال کنید و از اختلال موقتی پیش‌آمده عذرخواهی کنید، سپس با استخدام یک مشاور خارجی به این کد رسیدگی کنید. بر اساس تجربیات من بر اساس کار با فروشندگان ضدبدافزارهای امنیتی، کاربران به صورت کامل از این اشتباهات چشم‌پوشی می‌کنند، در صورتی‌که فروشندگان به سرعت عمل کرده و بعد از اطلاع به آنان، از آن‌ها حفاظت کنند. من فکر می‌کنم که بدترین کاری که ممکن است شما مرتکب شوید این است که همچنان در حالی‌که کاربران را در معرض خطر قرار داده‌اید به دنبال رفع مشکل بگردید. البته انتخاب با شماست.»
اکنون بر اساس گزارش این شرکت، آن‌ها هر دو مشکل را حل کرده‌اند، به طوری‌که نه اجرای کد از راه دور ممکن است و نه از برنامه‌ی مدیریت گذرواژه می‌توان برای سرقت اطلاعات رمزهای عبور کاربر استفاده کرد. آن‌ها هنوز برای حفاظت از دیگر APIهایی که ممکن است در خطر باشند، در حال فعالیت هستند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.