トレンドマイクロ社製パスワードマネージャーの脆弱性 1(JVN#37183636)について解説
去年、トレンドマイクロ社製のパスワードマネージャー、欠陥だらけだと、叩いてるけど、実際に使わずに評価するのはフェアじゃない。
ということで、あら捜しをしながら使ってみることにしたのが事の発端
結果使ってみて、とんでもないセキュリティーホールをいくつか発見することになったのですが‥‥。
JVN#37183636: トレンドマイクロ製パスワードマネージャーにおける情報漏えいの脆弱性
概要
トレンドマイクロ製パスワードマネージャーには製品内で生成される ルート CA 証明書用の秘密鍵が取得可能な脆弱性が存在します。
えーと、厳密には ルートCA証明書じゃなくて、中間CA証明書の秘密鍵なのでもっとヤバいのですが(; ˘ω˘)
パスワードマネージャーをインストールすると、トレンドマイクロパスワードマネージャーのアプリ内でSSLをすり抜けるためのCA中間証明書が作成されるのですが、ファイル名が ルート中間CA証明書の鍵であるにもかかわらず、 localhost.key という名前に偽装されます。(トレンドマイクロさんお得意のファイル名の変更による偽装工作です!)
さらに、root.crt が残ったまま保存されているので、ローカルPCに侵入すればいつでも、中間CA証明書の秘密鍵が入手できるので、そのパソコンで有効な 任意のサイトの SSL証明書が作れるわけです。
Windows 版の場合は、秘密鍵がローカルPC上に残ってるのでいつでも悪用できますが、
Mac版の方は作成時に一瞬取り出すチャンスがあるだけなので、モニタリングやごみ箱からの復元で入手する必要があり、少し攻撃のための敷居が高くなっていました。
問題なのは、この脆弱性が少なくとも4年前からあるというところまでわかっているということ。
要するに、パスワードマネージャーを入れることによって、パソコンにセキュリティホールができる状態が、ずーっと続いてたわけですから酷いものです(˘ω˘)
一番ひどかったのが、去年、この脆弱性を報告した時のトレンドマイクロの対応
・トレンドマイクロのセキュリティホールの報奨金サイトに通報したところ、「これは脆弱性じゃないから対象外だ。でも、必要だったら、トレンドマイクロの開発チームに連絡するよ」 って 返事が来たこと
・IPA経由で通報したところ、最初は「localhost の秘密鍵だからワンタイムでしか使われないから、脆弱性とは言えない。」と返事が来たこと
自分でファイル名を偽装したことを忘れていて、ちゃんと確認もせずに返事をよこしたのが酷かったなぁと( ˘ω˘) これが、トレンドマイクロさんのクオリティなのだなぁと。
ちなみに実証実験の結果がこれ
Comments