Phần mềm diệt virus Trend Micro có lỗ hổng cho phép chiếm quyền sử dụng PC

Phát hiện của Google cho thấy một lỗ hổng trên phần mềm Trend Micro Antivirus nền Windows sẽ cho phép bất kỳ một trang web nào có thể truy cập vào command line (dòng lệnh điều khiển) trên PC, qua đó thực hiện format ổ cứng hoặc tải và cài mã độc.

Theo The Register, lỗ hổng nói trên được một thành viên của dự án tìm lỗi Project Zero do Google khởi xướng phát hiện ra. Thông qua lỗ hổng này, các máy tính chạy Trend Micro AV có thể bị cài mã độc, đánh cắp dữ liệu hoặc chiếm quyền điều khiển một cách dễ dàng.

Tavis Ormandy, nhân viên Google đã tìm ra lỗi nói trên, cho biết đã phát hiện lỗ hổng trên một thành phần của gói bảo vệ virus từ Trend Micro có tên Password Manager (quản lý mật khẩu). Rất nhiều cổng HTTP RPC được sử dụng để xử lý yêu cầu tới API đã bị mở một cách bất cẩn:

"Chỉ mất khoảng 30 giây để phát hiện ra một cổng cho phép thực hiện một dòng lệnh ngẫu nhiên, openUrlInDefaultBrowser, vốn có thể dẫn tới ShellExecute()", Ormandy khẳng định trong báo lỗi gửi tới Trend Micro.

Điều này có nghĩa rằng bất kỳ một trang web nào được mở trên máy tính có cài Trend Micro AV cũng có thể chạy các dòng lệnh độc, ví dụ như RD C:\ /S /Q ;để xóa hoàn toàn phân vùng hệ thống, hoặc tự tải và cài các mã độc. Một đoạn mã được đăng tải lên Google Security Research thậm chí còn cho phép xóa hoàn toàn phần mềm Trend Micro mà người dùng vẫn không hề hay biết.

Khi nghiên cứu sâu hơn vào mã nguồn của Trend Micro, Ormandy đã phát hiện ra thêm rất nhiều vấn đề. Do trình quản lý mật khẩu của Trend Micro có chất lượng quá tệ hại, các đoạn mã độc thậm chí còn có thể tận dụng các lỗ hổng trên phần mềm này để đánh cắp các mật khẩu đã lưu cho trình duyệt, bao gồm cả các mật khẩu đã được mã hóa.

Tarvis Ormandy, tác giả của bản báo cáo lỗi, bày tỏ rõ sự bất bình với Trend Micro trên Twitter về lỗ hổng trầm trọng có trên phần mềm diệt virus.

Theo đúng chính sách của Project Zero, Trend Micro có 90 ngày để phát hành bản vá kể từ ngày được thông báo về lỗ hổng. Hiện tại, hãng phần mềm này đã ra mắt bản vá cho phần mềm của mình, do đó các thông tin về lỗ hổng tai hại nói trên cũng đã được công bố rộng rãi.

Ormandy cho biết: "Trend Micro gửi cho tôi một bản build để xác nhận rằng họ đã sửa lỗi. Có vẻ như họ không còn dùng ShellExecute nữa, do đó vấn đề chạy dòng lệnh từ xa cũng không còn. Tuy vậy, tôi rất quan ngại rằng phần mềm này sẽ mở khoảng 70 API ra Internet, và phần lớn trong số đó đều có vẻ đáng sợ. Tôi nói với họ rằng tôi sẽ không kiểm tra toàn bộ số API đó, nhưng họ cần phải thuê một chuyên viên bảo mật để kiểm tra lại ngay lập tức".

Tuyên bố chính thức của Trend Micro cũng đã xác nhận lỗ hổng trầm trọng trên phần mềm chống virus của hãng và cho biết thêm: "Tarvis đã cung cấp cho chúng tôi thông tin về một lỗ hổng có thể xảy ra trên sản phẩm Trend Micro. Theo đúng quy chuẩn phản ứng lỗ hổng chúng tôi đã phối hợp cùng anh ta để nhận diện và xử lý lỗ hổng. Các khách hàng hiện đã được bảo vệ qua các bản cập nhật tự động".

Lê Hoàng