Trend Micro Password Manager Ditemukan Rentan terhadap Serangan Eskalasi Privilege

  • Trend Micro Password Manager versi 5.0 ditemukan terganggu oleh cacat eskalasi hak istimewa.
  • Seorang penyerang dapat menggunakan DLL sewenang-wenang yang tidak ditandatangani untuk mengeksekusi kode sebagai pengguna istimewa melalui aplikasi.
  • Ini akan menghasilkan lengkap Windows pengambilalihan sistem dengan konsekuensi yang sangat serius.

Jika Anda menggunakan Trend Micro Password Manager v5.0 mandiri, atau yang merupakan bagian dari versi konsumen produk Trend Micro Security 2019 v15.0, Anda harus segera memperbarui ke versi terbaru dan menerapkan tambalan yang keluar dua minggu yang lalu. Patch ini memperbaiki dua kerentanan parah yang diberi pengenal CVE-2019-14684 dan CVE-2019-14687, dan yang menyangkut kelemahan pembajakan DLL yang memungkinkan penyerang memuat DLL yang sewenang-wenang dan tanpa tanda tangan ke dalam proses layanan yang ditandatangani, meningkatkan hak istimewa mereka untuk level tertinggi. Serangan itu akan membutuhkan akses fisik ke mesin target untuk bekerja, dan Trend Micro menyatakan bahwa sejauh ini tidak ada insiden eksploitasi yang diketahui.

Penemuan CVE-2019-14684, yang paling parah dari keduanya, adalah karya Peneliti keamanan SafeBreach Peleg Hadar, yang melaporkannya ke Trend Micro pada 23 Juli 2019. Vendor anti-virus segera merespons dan menyelesaikan masalah hanya dalam seminggu. Kemarin, perusahaan menerbitkan buletin keamanan, dan SafeBreach menerbitkan rincian kerentanan, menunjukkan PoC (bukti konsep) dan menjelaskan potensi untuk penggunaan berbahaya dan dampaknya yang sesuai.

Penjelasan DLL "width =" 854 "height =" 291 "data-srcset =" https://apsachieveonline.org/in/wp-content/uploads/2019/08/1565924242_33_Trend-Micro-Password-Manager-Ditemukan-Rentan-terhadap-Serangan-Eskalasi-Privilege.png 854w, https: // cdn .technadu.com / wp-content / uploads / 2019/08 / safebreach-0002-300x102.png 300w, https://cdn.technadu.com/wp-content/uploads/2019/08/safebreach-0002-768x262. png 768w, https://cdn.technadu.com/wp-content/uploads/2019/08/safebreach-0002-200x68.png 200w, https://cdn.technadu.com/wp-content/uploads/2019/ 08 / safebreach-0002-696x237.png 696w "size =" (max-width: 854px) 100vw, 854pxsumber gambar: https://safebreach.com

Seperti yang dijelaskan peneliti, cara utama untuk melakukan serangan katastropik adalah dengan mem-bypass sistem daftar putih aplikasi dan mengeksekusi kode dengan hak istimewa "Otoritas / Sistem NT". Layanan ini mulai otomatis dengan boot OS, sehingga menambah kegigihan serangan. Pengelola kata sandi Trend Micro dieksekusi di tingkat "Otoritas / Sistem NT", memuat perpustakaan yang disebut "tmwlutil.dll" saat eksekusi. Pustaka ini diambil dari direktori python tertentu, tetapi ini dapat dimodifikasi bersama dengan nama pengguna yang mengeksekusinya, nama file DLL, dan nama proses yang memuatnya.

Seorang pengguna biasa dapat menggunakan DLL sewenang-wenang sebagai sarana untuk melakukan eksekusi kode dengan hak istimewa dari pengguna yang diautentikasi, berkat jalur pencarian yang tidak terkontrol untuk memuat DLL, dan tidak adanya validasi sertifikat yang memungkinkan penyebaran yang tidak ditandatangani. DLL. Syaratnya adalah memodifikasi sistem untuk memasukkan variabel PATH baru untuk memasukkan direktori yang diinginkan di mana letak DLL jahat. Dengan beroperasi di tingkat "Otoritas / Sistem NT", seorang penyerang menjadi pengguna yang paling istimewa di a Windows sistem, sehingga mereka dapat mengakses file atau proses apa pun, memodifikasinya, dll.

Apakah Anda menggunakan Pengelola Kata Sandi Trend Micro, atau apakah Anda lebih suka produk yang berbeda? Beri tahu kami yang mana di bagian komentar di bawah ini, atau di media sosial kami, di Facebook dan Twitter.


Pos terkait

Back to top button