弱點通告:Trend Micro 多個產品存在安全性弱點,建議請使用者/管理者儘速評估更新!
2018/02/26
風險等級: 高度威脅
摘  要:

Trend Micro 多個產品存在安全性弱點,可能允許未經身分驗證的遠端攻擊者利用該弱點來執行任意程式碼以及獲取重要憑證資料。

目前已知會受到影響的產品為 InterScan Messaging Security Virtual Appliance 9.0,9.1 版本、OfficeScan 11,12 版本、Worry-Free Business Security 9.5 版本、Deep Security 10.0,10.1 版本、Endpoint Sensor 1.6 版本、Trend Micro Security V12 版本,HiNet SOC 建議請使用者/管理者儘速評估更新,以降低受駭風險。

影響系統:
  • InterScan Messaging Security Virtual Appliance 9.0,9.1 版本
  • OfficeScan 11,12 版本
  • Worry-Free Business Security 9.5 版本
  • Deep Security 10.0,10.1 版本
  • Endpoint Sensor 1.6 版本
  • Trend Micro Security V12 版本
  • 解決辦法: 因修補的版本及方式眾多,詳細內容請參見台灣電腦網路危機處理暨協調中心網站

  • 台灣電腦網路危機處理暨協調中心

  • 細節描述:

    Trend Micro 近日發佈更新以解決多個存在安全性弱點,該弱點可能允許未經身分驗證的遠端攻擊者利用該弱點來執行任意程式碼以及獲取重要憑證資料。

    InterScan Messaging Security Virtual Appliance (IMSVA) 系統日誌無條件存取:IMSVA 結合內部虛擬設備與雲端過濾,從網路外部阻絕惡意郵件,著眼於 email 閘道安全,其設計概念為可嵌入外部元件之 web 程式,只要載入 plug in 軟體之行為,皆有事件紀錄,然而搭配 Linux 平台之 IMSVA,存放日誌的資料夾缺乏存取控管,致使任何人無須驗證即可觸及 log 內容,譬如 /widget/repository/log/diagnostic.log 內含 cookie 資料,若駭客在 IMSVA 管理介面,循 HTTPS 協定閱讀系統紀錄,相關隱私數據被解析汲取,能被用來假冒身分,闖過安全辯證機制,後果堪虞。

    User-Mode Hooking (UMH) 模組動態連結函式庫劫持漏洞:Trend Micro 多項產品均內建 UMH (User-Mode Hooking) 引擎,用以防禦勒索軟體,以模組型態安裝在一般用戶解決方案架構 CCSF (Common Client Solution Framework) 服務中,使用者模式 Hooking 能及時提供 API 事件給其他模組,藉由 UMH 供應之訊息,進行危機預判與行為監視等決策。而 UMH 模組發生 DLL (Dynamic-link library) Hijacking 弱點,凡在 Windows 作業系統上運行之 Trend Micro 防護軟體,其 UMH 動態連結函式庫空遭蓄意置換,讓攻擊者有機會恣意執行程式碼,對企業用戶構成較高風險。

    HiNet SOC 建議請使用者/管理者儘速評估更新,以降低受駭風險。

    參考資訊:

    TWCERT/CC(2018/02/21)