Lỗ hổng này được tìm thấy bởi nhóm nghiên cứuProject Zero của Google. Vào ngày 05/01/2016, nhà nghiên cứu Tavis Ormandy đã thông báo với Trend Micro rằng ôngphát hiện ra một lỗ hổng nghiêm trọng trong sản phẩm quản lý mật khẩu PasswordManager, một thành phần được cài đặt mặc định trong các sản phẩm PremiumSecurity và MaximumSecurity của Trend Micro.
Ormandy nhận ra rằngPassword Manager chủ yếu được viết trên nềntảng Node.js chạy trên môi trường JavaScript, mở ra nhiều cổng HTTP RPC để xử lý các yêu cầu API.
Theo các chuyên gia,chỉ mất 30 giây để nhận dạng được một API có thể đã bị tác động bởi việc thựcthi mã từ xa. Kẻ tấn công đơn giản chỉ cầnđưa nạn nhân “viếng thăm” một trang web độc hại để thực thi các lệnh trên máychủ với quyền của người sử dụng.
Các nhà nghiên cứu củaGoogle cũng lưu ý rằng kẻ tấn công có thể vượt qua tính năng bảo mật của trìnhduyệt web và thực thi các lệnh mà không cần đưa ra bất kỳ thông báo nào cho nạnnhân.
Bằng chứng là TrendMicro đã bị lạm dụng dòng lệnh openUrlInDefaultBrowserAPI, nhưng các chuyên gia longại một thực tế là Password Manager đã đưa ra gần 70 APIs trên Internet. Ormandy không kiểmtra tất cả các API, nhưng ông nhận thấyhàng chục API có tiềm ẩn các mối nguy hại.
Các nhà nghiên cứu cũng phát hiện ra một trong cácAPI là exportBrowserPasswords có thể đã bị kẻ tấn công lợi dụng để buộc ngườidùng đưa ra các mật khẩu trình duyệt của họ choPasswordManager, và một API khác được phép truy nhập tới những mật khẩu lưu trữ trong các sản phẩm củaTrendMicro.
Ormandy nói rằng một kịch bản mã độc có thể âmthầm lấy cắp mật khẩu người dùng mà không có bất kỳ sự tương tác nào từ nạnnhân, nhưng Trend Micro thì cho rằng nó không dễ dàng giải mã được những mật khẩuđã mã hóa.
Trend Micro đưa ra mộtbản vá để giải quyết các lỗ hổng bảo mật vào hôm thứ Hai và Ormandy đã xác nhận việc giải quyết các vấnđề này. Nhà nghiên cứu cũng đã khuyên các hãng bảo mật nên thuêtư vấn an ninh bên ngoài để kiểm tra mã của PasswordManager.
Người đại diện Trend Micro nói với chuyên giaGoogle rằng nhóm sản phẩm của họ đã kiểm tra lại mã nguồn mở của các APIs để đảmbảo ngăn chặn các hành vi thực hiện từ xa.
Ormandy cũng đã phântích các sản phẩm của một số công ty bảo mật trong thời gian qua. Ông xác địnhđược các lỗ hổng nghiêm trọng trong nhữngphần mềm Kaspersky Lab, AVG, FireEye, Avast và các sản phẩm khác.
Hồi tháng Chín, các chuyên gia cũng đã cảnh báo rằng lỗ hổngtrong các sản phẩm bảo mật có thể tăng lên đáng kể do các cuộc tấn công có chủđích.
“Chúngtôi có bằng chứng chắc chắn rằng có tồn tại một thị trường thương mại về các hoạtđộng đen tối. Nhà nghiên cứu bày tỏ rằng kẻ tấn công có thể dễ dàng sử dụnghình thức tăng đột ngột lượng quảng cáo để tấn công có chủ đích”, Ormandycho biết. “Vì lý do này, các nhà cung cấpsản phẩm bảo mật cần có trách nhiệm duy trì các tiêu chuẩn phát triển an toàncao nhất có thể để giảm thiểu nguy cơ gây ra những thiệt hại bởi phần mềm của họ”
Theo www.securityweek.com
.jpg "Phát động Giải thưởng KOLs có các video, content viral về hướng dẫn kỹ năng phòng chống lừa đảo trực tuyến")
