Le gestionnaire de mots de passe de Trend Micro en mode Open Bar
5 janvier 2016Un expert de Google a présenté des failles de sécurité dans le gestionnaire de mots de passe de Trend Micro. Celui-ci a fini par réussir apporter des corrections réussi à corriger les problèmes.
Tavis Ormandy aura été impitoyable avec Trend Micro. Utilisant la politique de l’équipe Google Project Zero pour laquelle il travaille, ce spécialiste en sécurité à dévoiler ses échanges avec l’éditeur japonais portant sur plusieurs failles localisées dans son logiciel Password Manager… et qui n’ont pas été corrigées alors qu’elles ont été signalées depuis 90 jours.
Installé sur PC, Mac, iOS et Android, ce gestionnaire d’identifiants de connexion pour les sites Web est vendu à 9,95 euros TTC par an mais, une offre gratuite existe également pour le stockage de plus de 5 mots de passe.
Il fonctionne de façon officielle avec Internet Explorer (9, 10 et 11), Safari (7.1, 8.0), Chrome et Firefox (il est demandé, pour ces deux navigateurs habituellement mis à jour, de se servir d’une version convenablement récente).
Password Manager est employable séparément des autres solutions Trend Micro. Cependant, il s’installe en parallèle de plusieurs produits de l’éditeur, spécifiquement l’antivirus pour Windows. Son lancement se fait de façon automatique au démarrage.
70 API vulnérables
Rédigé en JavaScript principalement à travers Node.js, ce programme rival d’un LastPass, d’un Dashlane ou d’un 1Password ouvre de plusieurs ports HTTP pour pouvoir autoriser des requêtes API. Cependant, certaines d’entre elles donne la possibilité à des tiers d’exécuter du code à distance, sans que l’utilisateur ciblé ne soit obligé d’agir. Pendant son enquête, Tavis Ormandy a découvert près de 70 API fragiles.
Pour enrichir ses découvertes auprès de Trend Micro, il a commencé par utiliser la commande openUrlInDefaultBrowser, qui lui a donner la possibilité de transmettre du code malveillant et de l’exécuter à travers ShellExecute().
Pour sa preuve, il s’est arrêté sur le fait de lancer la calculatrice Windows comme processus dépendant de Password Manager. Tout en insufflant d’autres pistes, par exemple à travers une archive .zip contenant un fichier .hta, plus précisément une application reposant sur HTML et d’autres langages supporté par les navigateurs Web.
