トレンドマイクロのパスワード管理ツールにパスワードを盗まれ遠隔操作される脆弱性

セキュリティ対策ソフトのトレンドマイクロの製品に含まれるパスワード管理ソフト「Password Manager」について、2016年1月11日に緊急パッチが配布されて強制アップデートが行われました。このアップデートは、Password Managerの持つ脆弱性について、Googleのセキュリティチーム「Project Zero」がブログで「前代未聞の愚かなもの」と酷評したことが端緒となって実行されたようです。

Issue 693 - google-security-research - TrendMicro node.js HTTP server listening on localhost can execute commands - Google Security Research - Google Project Hosting
https://code.google.com/p/google-security-research/issues/detail?id=693

Google security researcher excoriates TrendMicro for critical AV defects | Ars Technica
http://arstechnica.com/security/2016/01/google-security-researcher-excoriates-trendmicro-for-critical-av-defects/

Project Zeroのタビス・オルマンディ氏は、トレンドマイクロのセキュリティ対策ソフトに標準でインストールされるパスワード管理ソフト「Password Manager」に、遠隔から任意のコマンドを実行される脆弱性があることを発見しました。

オルマンディ氏によると、Password Managerは主にNode.jsを用いたJavaScriptで書かれており、APIの要求を受けるために複数のHTTP RPCポートを開放して待機するようになっていましたが、「ShellExecute()」にマップされた「openUrlInDefaultBrowser」という任意の命令を実行できるコマンドを発見するのに30秒ほどしかかからなかったとのこと。

この脆弱性についてオルマンディ氏がトレンドマイクロに報告した結果、トレンドマイクロはすぐに緊急のパッチをリリースすることになり、リリース後、オルマンディ氏に連絡してきたそうです。しかし、オルマンディ氏がチェックしたところ、依然として遠隔でコード実行される潜在的な危険を持つAPIが70個以上も発見できる状態であったとのこと。驚愕すべきPassword Managerの実態についてオルマンディ氏は「これまで見たなかで最もばかげたもの」だとトレンドマイクロにメールしたそうです。

なお、オルマンディ氏は、Password Managerのセキュリティホールをついて、同ソフトが保存しているパスワードを盗み出すことにも成功しています。つまり、大切なパスワードの管理を任せた「Password Manager」はザルであり、攻撃者に侵入されパスワードをすべて盗まれるような作りだったというわけです。

Password Managerのあまりにもずさんな作りに驚愕したオルマンディ氏は、ブログで「何と言えば良いのか分からない。なぜ、まともなセキュリティコンサルタントのチェックを受ける事なく、このようなソフトをすべての顧客にデフォルト状態として提供しているのか……」と述べています。

なお、トレンドマイクロは、すでにコマンドの入力先をチェックする機能を追加し、それまで設定すらなかったホワイトリストも作り、そこに「pwm.trendmicro.com」を追加した上で、修正パッチを配布済みで、すべてのPassword Managerは強制的に脆弱性が修正されたアップデートを受けることになりました。オルマンディ氏のだめ出しを受けまくりながらも、最終的にバグは解消されたようで、状況を確認したオルマンディ氏はブログのエントリーを閉鎖しています。