趋势科技解决了趋势密码管理器中的两个DLL劫持漏洞

趋势科技解决了趋势密码管理器中的2个DLL劫持漏洞，这些漏洞可能允许恶意攻击者提升权限等。

SafeBreach的安全专家Peleg Hadar在趋势科技密码管理器中发现了一个DLL劫持漏洞，可能使攻击者能够以最高的访问权限在用户的计算机上运行自己的代码。

该漏洞被标记为 CVE-2019-14684，它允许经过身份验证的攻击者在受信任的进程中使用 SYSTEM 权限运行任意、未签名的 DLL 文件。

“SafeBreach实验室发现了趋势科技的密码管理器软件的新漏洞。”来自 SafeBreach 发布的帖子。

在本文中，我们将演示如何利用此漏洞，通过将任意未签名的 DLL 加载到以 NT AUTHORITY_SYSTEM 身份运行的服务中来实现权限提升和持久后门。

趋势科技密码管理器作为独立应用程序经常与趋势科技安全性产品集成在一起，它能帮你安全的管理网站密码和登录ID。

该漏洞位于"趋势科技密码管理器中央控制服务"中，该服务无法检查系统上是否安装了特定的 DLL （tmtap.dll）。

据专家介绍，该服务使用 SYSTEM 权限执行已签名的进程 PwmSvc.exe，然后加载趋势科技白名单中的模块库 （tmwlutil.dll），然后该库尝试加载 tmtap.dll。

加载 DLL 时程序依赖于 PATH 变量而不是指定绝对路径，而且加载 DLL 文件时，它也没有检查数字证书。

该软件也会在系统文件夹中搜索 DLL，并在 C:/python27 中搜索能利用的 DLL。

"在我们的 VM 中， C:/python27 有一个 ACL，允许任何经过身份验证的用户将文件写入 ACL。这使得权限提升变得简单，并允许普通用户编写 DLL 文件，作为 NT AUTHORITY_SYSTEM 的代码执行。

请务必注意，管理用户或进程必须

（1） 设置目录 ACL 以允许访问非管理员帐户；

（2） 修改系统的 PATH 变量以包括该目录。这可以由不同的应用程序来完成。

专家为权限提升编写了PoC代码，他编译了一个未签名的DLL，该DLL能写入了一个文本文件，记录加载它的进程名称，执行它的用户以及DLL文件。

DLL在已签名的趋势科技进程中以SYSTEM权限运行，演示该漏洞:

专家解释说，每次加载PwmSvc.exe服务时都会执行漏洞利用代码，此机制能让恶意软件持久控制系统。

另一位研究员，Infiniti Team的TrầnVănKhang - VinCSS报告了第二个DLL注入问题，该问题被标记为CVE-2019-14687。

可以使用不同的DLL利用此第二个漏洞。

“趋势科技密码管理器5.0中存在一个单独且类似的DLL劫持漏洞。”来自趋势科技发布的安全公告。

在趋势科技密码管理器中启用了自动更新功能的用户应该已经收到修复程序以解决这些漏洞。

趋势科技证实，尚未收到任何利用上述漏洞进行攻击的报告。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://securityaffairs.co/wordpress/90010/hacking/trend-micro-password-manager-flaw.html