Una
vez más sale a la luz una vulnerabilidad reportada por Project Zero de Google. En esta ocasión diversos productos Trend Micro se ven afectador por un sencillo
problema que podría permitir la ejecución remota de comandos arbitrarios.
Un stub es una clase que
implementa la interfaz remota de forma que cualquiera puede utilizarla como si
se tratara de una local. Básicamente se trata de un servidor que implementa
ciertos métodos sobre los cuales se puede ejecutar código Javascript. Este tipo
de sistema es usado en labores de depuración pero, tal y como suele ser
habitual en este tipo de funcionalidad, su explotación suele ser trivial
mientras que su impacto puede llegar a ser crítico si este servicio llega a
publicarse en producción.
De forma que para explotar el
fallo basta con realizar algo similar:
http://localhost:Puerto/json/new/?javascript:require('child_process').spawnSync('calc.exe')
Basta un sencillo bucle para encontrar el puerto en el que el stub se encuentra a la escucha.
Basta un sencillo bucle para encontrar el puerto en el que el stub se encuentra a la escucha.
TrendMicro accidentally left a remote debugging server running on all customer machines ¯\_(ツ)_/¯ #oops https://t.co/bPLFOrTLBl— Tavis Ormandy (@taviso) 30 de marzo de 2016
El problema se reportó a Trend
Micro el 22 de marzo, que reaccionó rápidamente y publicó un parche temporal el
día 30. Según el investigador, en determinadas circunstanc ias, aun con el
parche provisional instalado, podría seguir siendo vulnerable. De todas
formas, dada la gravedad del problema, Trend Micro ha publicado ya versiones
actualizadas y trabaja en una versión definitiva.
No es la primera vez que Tavis
Ormandy centra sus descubrimientos en productos de seguridad, incluyendo Kaspersky,
FireEye,
ESET
o Sophos.
El pasado septiembre, el
investigador también avisó
de fuertes evidencias de la existencia de un mercado negro muy activo en vulnerabilidades
en productos de seguridad. Por esta razón consideraba que los fabricantes de
productos de seguridad tienen la responsabilidad de mantener los más altos
estándares de desarrollo seguro para minimizar el posible daño potencial causado
por su software.
Más información:
TrendMicro: A remote debugger stub is listening
in default install
una-al-dia (08/09/2015) Polémicos
anuncios de vulnerabilidades en productos Kaspersky y FireEye
una-al-dia (29/09/2015) Múltiples
vulnerabilidades en productos Kaspersky
Analysis and Exploitation of an ESET
Vulnerability
Sophail:
Applied attacks against Sophos Antivirus
Kaspersky:
Mo Unpackers, Mo Problems.
Antonio Ropero
Twitter: @aropero