按 Enter 到主內容區
:::

TWCERT-電子報

:::
發布日期:
字型大小:

趨勢科技數款軟體UMH模組具DLL劫持弱點,另IMSVA日誌內容遭任意存取

CVE編號 CVE-2018-3609 CVE-2018-6218
影響產品 InterScan Messaging Security Virtual Appliance 9.0、9.1 /OfficeScan 11.0、12/ Worry-Free Business Security 9.5 /Deep Security 10.0、10.1 /Endpoint Sensor 1.6 /Trend Micro Security V12
解決辦法 (1)下載各軟體修補壓縮檔,URL如下:http://files.trendmicro.com/products/imsva/9.1/imsva_91_en_criticalpatch1682.zip
http://files.trendmicro.com/products/imsva/9.0/imsva_90_en_criticalpatch1653.zip
http://files.trendmicro.com/products/officescan/11.0_SP1/osce_11_sp1_patch1_win_en_criticalpatch_6469.exe
http://files.trendmicro.com/products/officescan/XG/patch1/osce_xg_win_en_criticalpatch_1775.exe
http://files.trendmicro.com/products/wfbs/9.5/WFBS_95_WIN_ALL_Patch_1_B1445.exe
https://help.deepsecurity.trendmicro.com/software-10-0.html
https://help.deepsecurity.trendmicro.com/software-feature-releases.html
http://files.trendmicro.com/products/largefile/EndpointSensor/EndpointSensor-1.6-Win-Update3-CP-b3107.exe

(2)停用User-Mode Hooking,修改登錄值
‧x86平台:[HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentVersion\AEGIS] → "EnableUMH"=dword:00000000

‧64位元平台:[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\TrendMicro\PC-cillinNTCorp\CurrentVersion\AEGIS] → "EnableUMH"=dword:00000000
張貼日 2018-02-21
上稿單位 TWCERT/CC

●概述:
Trend Micro發展反制勒索軟體之User-Mode Hooking引擎技術,能提供API事件訊息給其他模組,支援預判與監視相關決策,經測試存在DLL劫持缺失,恐引發執行任意碼,鑒於DLL本是微軟共享函数的方法,此漏洞影響Windows平台上OfficeScan、Worry-Free Business Security、Deep Security、Endpoint Sensor、Trend Micro Security等企業級軟體安全性;另駭客能經由InterScan Messaging Security Virtual Appliance之web介面,接觸/widget/repository/log/路徑下系統日誌,分析獲取重要憑證資料,該公司就各版軟體提供對應之更新程式。
●編註:
(1)InterScan Messaging Security Virtual Appliance(IMSVA)系統日誌無條件存取
IMSVA結合內部虛擬設備與雲端過濾,從網路外部阻絕惡意郵件,著眼於email閘道安全,其設計概念為可嵌入外部元件之web程式,只要載入plug in軟體之行為,皆有事件紀錄,然而搭配Linux平台之IMSVA,存放日誌的資料夾缺乏存取控管,致使任何人無須驗證即可觸及log內容,譬如 /widget/repository/log/diagnostic.log 內含cookie資料,若駭客在IMSVA管理介面,循HTTPS協定閱讀系統紀錄,相關隱私數據被解析汲取,能被用來假冒身分,闖過安全辯證機制,後果堪虞。
(2)User-Mode Hooking (UMH)模組動態連結函式庫劫持漏洞
在Trend Micro多項產品均內建User-Mode Hooking引擎,用以防禦勒索軟體,以模組型態安裝在一般用戶解決方案架構(CCSF :Common Client Solution Framework)服務中,使用者模式Hooking能及時提供API事件給其他模組(Behavior Monitoring或Predictive Machine Learning),藉由UMH供應之訊息,進行危機預判與行為監視等決策。
而UMH模組發生DLL(Dynamic-link library) Hijacking弱點,凡在Windows作業系統上運行之Trend Micro防護軟體,其UMH動態連結函式庫空遭蓄意置換,讓攻擊者有機會恣意執行程式碼,對企業用戶構成較高風險。

相關連結

  1. https://success.trendmicro.com/solution/1119326#
  2. https://success.trendmicro.com/solution/1115431-enabling-or-disabling-user-mode-hooking-umh-in-offic
  3. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6218
  4. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3609
  5. https://korelogic.com/Resources/Advisories/KL-001-2018-006.txt
  6. https://success.trendmicro.com/solution/1119277
  7. https://imgv2-1-f.scribdassets.com/img/document/255672473/original/a352761390/1518765643?v=1
回頁首