• IT-Karriere:
  • Services:

Zero Day: Lücken in Trend Micros Sicherheitssoftware aktiv ausgenutzt

Insgesamt fünf Sicherheitslücken hat Trend Micro in seiner Anti-Viren-Software geschlossen.

Artikel veröffentlicht am ,
Sicherheitslücken in der Sicherheitssoftware von Trend Micro
Sicherheitslücken in der Sicherheitssoftware von Trend Micro (Bild: Behrouz Mehri/AFP via Getty Images)

Eigentlich soll Sicherheitssoftware die Nutzer vor Angriffen schützen, doch immer wieder tauchen schwerwiegende Sicherheitslücken in eben jener Software auf. Diesmal trifft es die Sicherheitsfirma Trend Micro, die gleich fünf Sicherheitslücken in ihrer Anti-Viren-Software geschlossen hat. Zwei davon sollen bereits aktiv von Angreifern ausgenutzt worden sein, bevor sie Trend Micro schließen konnte (Zero Days). Zuerst hatte das Onlinemagazin ZDnet berichtet.

Stellenmarkt
  1. Marc Cain GmbH, Bodelshausen
  2. über Hays AG, Dortmund

Die bereits aktiv ausgenutzten Sicherheitslücken (CVE-2020-8467, CVE-2020-8468) steckten in einem Migrationstool sowie der Inhaltsvalidierung der beiden Sicherheitssoftwares Apex One und Officescan von Trend Micro. Mit ihnen war es den Angreifern möglich, Code aus der Ferne (RCE, Remote Code Execution) auszuführen sowie Komponenten der Software zu manipulieren. Allerdings benötigten die Angreifer hierzu die Anmeldedaten der betroffenen Nutzer. Insofern dürften die Angreifer die Lücken in bereits kompromittierten Netzwerken oder Systemen ausgenutzt haben, beispielsweise, um Sicherheitssoftware zu deaktivieren. Details nennt Trend Micro hierzu nicht.

Drei weitere Lücken waren ohne Authentifizierung aus der Ferne ausnutzbar

Noch gefährlicher sind die drei Sicherheitslücken (CVE-2020-8470, CVE-2020-8598, CVE-2020-8599), die laut Trend Micro nicht aktiv ausgenutzt wurden. Über eine anfällige DLL-Datei konnten beliebige Dateien gelöscht oder Code ausgeführt werden. Beide Lücken konnten aus der Ferne mit Systemrechten ausgeführt werden, ohne dass eine Authentifizierung am System notwendig war. Mit einer weiteren Sicherheitslücke konnten über eine verwundbare .exe-Datei beliebige Dateien auf dem System geschrieben werden. Auch dies war mit Systemrechten möglich, ohne dass sich ein Angreifer am System authentifizieren musste.

Im Sommer 2019 soll Mitsubishi Electric über eine Zero Day in Trend Micros Officescan gehackt worden sein. Rund 200 MByte Daten sollen die Angreifer kopiert haben, darunter Bewerbungen von knapp 2.000 Personen, Informationen über knapp 1.600 Personen, die zwischen 2007 und 2019 in den Ruhestand gegangen sind sowie vertrauliche Dateien mit Informationen zu technischen Materialien und Verkaufsunterlagen des Unternehmens.

Avast verkaufte Nutzerdaten

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

Vergangene Woche deaktivierte die Sicherheitsfirma Avast eine Komponente ihrer gleichnamigen Anti-Viren-Software, nachdem Google Project Zero mehrere Tage zuvor eine schwerwiegende Sicherheitslücke in dieser entdeckt hatte. Es reiche, einem Benutzer eine Javascript- oder WSH-Datei mit Schadcode zukommen zu lassen, beispielsweise per E-Mail. Diese würde zur Prüfung von Avasts Javascript-Engine ausgeführt - mit Systemrechten, wie Tavis Ormandy von Project Zero betonte. Damit konnte Code aus der Ferne ausgeführt werden.

Anfang des Jahres wurde zudem bekannt, dass eine Tochterfirma von Avast Nutzerdaten an Unternehmen wie Google oder Microsoft verkauft hat. Die Daten wurden von einer Browsererweiterung von Avast gesammelt und ermöglichten, die Nutzer mit hoher Genauigkeit durch das Internet zu verfolgen. IT-Sicherheitsexperten bezeichnen wegen solcher Sicherheitslücken und Vorfälle Anti-Viren-Software als Schlangenöl, die teils mehr schade, als sie nutze.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 19,49€
  2. 21€
  3. (u. a. Standard Edition PC für 44,99€, Xbox One / Series S/X für 62,99€, Deluxe Edition PC...

olleIcke 12. Mär 2021

Die verlinkte Website von Trend Micro fängt gleich mit //success. an und endet mit .com...

TW1920 19. Mär 2020

Naja, man braucht auch noch andere Dateien ;) Zudem: Mit jpg und pdf konnte man auch...


Folgen Sie uns
       


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /