Quand l’anti-virus de Trend Micro ouvraient les mots de passe à tous les vents

Les chercheurs en sécurité du projet zéro de Google ont mis la main, il y a six jour, sur une grave vulnérabilité affectant l’anti-virus de Trend Micro. Dans un message de forum, ils expliquent : « lorsque vous installez l’antivirus de Trend Micro sur Windows, un composant nommé Password Manager est également installé par défaut et automatiquement lancé au démarrage ». Las, développé à partir du framework Node.js, ce composant « ouvre de multiples ports http pour gérer les appels aux API ». Des ports susceptibles de constituer autant de points de d’entrée sur les données du composant en l’absence de contrôle strict des instructions passées à l’intention de ses API.

Et justement : « il a fallu environ 30 secondes pour en identifier un qui permet l’exécution arbitraire de commandes » à distance, jusqu’à autoriser l’exécution de commandes Shell, à partir d’un site Web malveillant ou compromis.

Deux jours plus tard, Trend Micro a transmis aux équipes de Google une nouvelle version censée corriger la vulnérabilité. Toutefois, pour les chercheurs du projet zéro, il reste préoccupant que le composant incriminé « expose près de 70 API » sur Internet et l’éditeur « a besoin d’embaucher un consultant en sécurité professionnel pour l’auditer rapidement ». Le spécialiste de la sécurité goûtera probablement l’ironie.

Et il aura fallu une journée de plus aux équipes du projet zéro pour identifier une API permettant d’accéder aux mots de passe stockés dans le composant de gestion des mots de passe. Là, les chercheurs insistent : « vous devriez temporairement désactiver cette fonction et vous excuser pour son indisponibilité temporaire, puis embaucher des consultants externes pour auditer le code ».

De son côté, Trend Micro propose un correctif notamment basé sur la vérification des entêtes d’origine des requêtes. Parallèlement, il assure passer en revue toutes les API exposées, « une par une ».