Nutzer des Passwortmanagers 2019 von Trend Micro sollten sicherstellen, dass ihre Version auf dem neuesten Stand ist um sich vor möglichen Angriffen zu schützen. Obwohl das genaue Angriffsszenario unklar ist – besteht die Möglichkeit. Dass Angreifer Schadcode auf einem verwundbaren Computer ausführen können. Um dies zu verhindern, empfiehlt es sich die Anwendung auf die aktuellste Version zu aktualisieren um das Risiko einer Schadsoftware-Infektion zu minimieren. Das Update kann entweder separat oder als Teil von Trend Micro Security 2019 installiert werden und sollte automatisch durchgeführt werden.
Ist das gegeben, könnten DLL-Hijacking-Angriffe stattfinden, macht verständlich Trend Micro in einer Warnung. Sie stufen das von den Schwachstellen (CVE-2019-14684, CVE-2019-14687) ausgehen Risiko als "mittel" ein. Abgesichert ist die Version 5․0․0.1058.
Angriffspunkt
Das Sicherheitsrisiko soll der "Trend Micro Password Manager Central Control Service" (PwmSvc.exe) darstellen. Dieser startet nach vollendetem Bootvorgang eines Computers automatisch, führen Sicherheitsforscher von SafeBreach in einem Beitrag aus.
Problematisch dabei ist, dass der von Trend Micro signierte Prozess mit den höchstmöglichen Nutzerrechten (NT AUTHORITY\SYSTEM) läuft und nach einer nicht auf dem System vorhanden DLL-Datei sucht. Kann sich ein Angreifer dort einklinken, hat er quasi einen Freifahrtschein für Schacode auf System-Ebene.
In ihrem Beitrag beschreiben die Sicherheitsforscher ausführlich, ebenso wie sie dem Prozess eine präparierte unsignierte DDL-Datei unterschieben und anschließend innerhalb des von Trend Micro signierten Prozesses eigenen Code mit System-Rechten ausführen konnten. Startet PwmSvc.exe nach einer Kompromittierung, startet ebenfalls jedes Mal potenzieller Schadcode.
Kommentare