人気のあるウイルス対策製品の監査員であるオーマンディは、Trend Micro AVのコンポーネントの1つ、node.jsを使用してJavaScriptで記述されたパスワードマネージャーに注目しました。 彼はいくつかのHTTP RPCポートを開き、任意のコマンドを実行できるようになったことがわかりました! これは、どのWebサイトでもユーザーのマシンでスクリプトを実行できることを意味します。たとえば、ディスク上のすべての情報を消去したり、外部ネットワークから別の悪意のあるプログラムをインストールしたり、同じアンチウイルスを削除したりできます。
最終的にShellExecute()を起動するコマンドopenUrlDefaultBrowserが許可されることを理解するために約30秒を費やしました
x = new XMLHttpRequest() x.open("GET", "https://localhost:49155/api/openUrlInDefaultBrowser?url=c:/windows/system32/calc.exe true); try { x.send(); } catch (e) {};
さらに深く掘り下げると、Ormandyはパスワードマネージャーが非常に悪いため、パスワードが暗号化されていてもすべてのパスワードを盗むことができることを発見しました。
現時点では、トレンドマイクロはこの脆弱性を修正し、すべてのユーザーがアンチウイルスを更新することをお勧めしています。