¿Qué tan seguros son los productos de seguridad? Primero AVG, ahora TrendMicro con fallas importantes

El investigador de Google Tavis Ormandy descubrió recientemente una falla importante en el componente de administrador de contraseñas de TrendMicro Antivirus para Windows que tenía varios problemas de seguridad importantes que, entre otras cosas, permitirían a los sitios web ejecutar comandos arbitrarios, exponer todas las contraseñas almacenadas o ejecutar un 'navegador seguro 'eso no es seguro en absoluto.

Parece que Google está investigando actualmente productos de seguridad en Windows, y especialmente aquellos que interactúan con el navegador web Chrome o Chromium de una forma u otra.



La empresa avergonzó abiertamente a AVG a principios de enero para su extensión Web TuneUp para Chrome, ya que las fallas de seguridad ponen en riesgo a los 9 millones de usuarios de Chrome que lo usan.

TuneUp, instalado con el software de seguridad AVG o por separado, pone en riesgo a los usuarios de Chrome al deshabilitar la 'seguridad web' para los usuarios de Chrome que habían instalado la extensión.

AVG finalmente produjo una solución (se necesitaron dos intentos para eso, el primero fue rechazado porque no fue suficiente).

Problema de seguridad de TrendMicro Password Manager

Y ahora es Trend Micro quien se avergüenza abiertamente por Google. Según Ormandy, el componente Password Manager es el culpable esta vez, que se instala automáticamente con TrendMicro Antivirus para Windows y se ejecuta al inicio (y también disponible como un programa y una aplicación independientes).

Este producto está escrito principalmente en JavaScript con node.js y abre varios puertos HTTP RPC para manejar solicitudes de API.

Tomó alrededor de 30 segundos detectar uno que permite la ejecución de comandos arbitrarios, openUrlInDefaultBrowser, que finalmente se asigna a ShellExecute ().

Esto significa que cualquier sitio web puede ejecutar comandos arbitrarios [..]

En respuesta a un empleado de TrendMicro Ormandy agregó la siguiente información:

Oye, ¿solo quería comprobar si hay alguna actualización aquí? Esto es trivialmente explotable y detectable en la instalación predeterminada y, obviamente, se puede usar con gusanos; en mi opinión, debería estar llamando a las personas para que lo arreglen.

FWIW, incluso es posible omitir MOTW y generar comandos sin ningún aviso. Una forma sencilla de hacerlo (probado en Windows 7) sería descargar automáticamente un archivo zip que contenga un archivo HTA y luego invocarlo [..]

La primera versión que TrendMicro envió a Travis Ormandy para su verificación solucionó uno de los principales problemas del programa (el uso de ShellExecute), pero no solucionó otros problemas detectados durante el examen preliminar del código.

Trend Micro-2016-01-07-16-21-51

Ormandy señaló, por ejemplo, que una de las API utilizadas por TrendMicro generó una compilación 'antigua' de Chromium (versión 41 del navegador que ahora está disponible como versión 49) y que deshabilitaría la caja de arena del navegador además de eso para ofrecer un ' navegador seguro 'para sus usuarios.



Su respuesta a TrendMicro fue contundente:

¿Solo estabas ocultando los objetos globales e invocando un shell del navegador ...? ... y luego llamarlo 'Navegador seguro'?!? El hecho de que también ejecute una versión anterior con --disable-sandbox solo agrega un insulto a la lesión.

Ni siquiera sé qué decir: ¿cómo podría habilitar esto * de forma predeterminada * en todas las máquinas de sus clientes sin obtener una auditoría de un consultor de seguridad competente?

Por último, pero no menos importante, Ormandy descubrió que el programa ofrecía una 'API limpia y agradable para acceder a las contraseñas almacenadas en el administrador de contraseñas', y que cualquiera podía leer todas las contraseñas almacenadas.

Durante la instalación, se solicita a los usuarios que exporten las contraseñas de su navegador, pero eso es opcional. Creo que un atacante puede forzarlo con / exportBrowserPasswords API, así que ni siquiera eso ayuda. Envié un correo electrónico señalando esto:

En mi opinión, debería desactivar temporalmente esta función para los usuarios y disculparse por la interrupción temporal, luego contratar a una consultora externa para auditar el código. En mi experiencia al tratar con proveedores de seguridad, los usuarios son bastante tolerantes con los errores si los proveedores actúan rápidamente para protegerlos una vez informados de un problema. Creo que lo peor que puede hacer es dejar a los usuarios expuestos mientras limpia esto. La elección es tuya, por supuesto.

El problema parece no haberse solucionado por completo en el momento de escribir este artículo a pesar de los esfuerzos de TrendMicro y de varios parches que la compañía produjo en los últimos días.

¿Software de seguridad intrínsecamente inseguro?

La pregunta principal que debería surgir de esto es '¿qué tan seguros son los productos de seguridad'? Dos problemas importantes en dos productos de los principales actores en el campo de los antivirus son motivo de preocupación, especialmente porque existe la posibilidad de que no sean los únicos que no parecen haber asegurado sus propios productos correctamente.

Para los usuarios finales, es casi imposible saber si algo va mal y los deja en una situación precaria. ¿Pueden confiar en su solución de seguridad para mantener sus datos seguros, o es el mismo software que debería proteger sus computadoras lo que los pone en riesgo?