趋势科技客户端被爆后门中国亚信安全用户受影响
北京时间3月31日凌晨,据谷歌安全团队 Project Zero披露,谷歌的安全研究人员在安全公司趋势科技的客户端安全软件当中,发现一个低级的后门(https://bugs.chromium.org/p/project-zero/issues/detail?id=773)。在安装了该客户端安全软件之后,默认会启动一个网页服务器,这个服务器会针对一段精心构造的请求做出响应,启动任意在本地的程序。通过这个后门,黑客可以通过在网页上直接插入一段恶意代码,当安装有该客户端软件的用户打开此网页时,可以实现直接执行恶意代码,或者下载恶意代码执行。
根据Project Zero网页提供的信息,趋势科技表示,后门来自第三方代码,因此他们暂时无法对此进行彻底的修复,只能先提供针对这个攻击入口的缓解措施。目前针对这个攻击入口的缓解程序已经放出,但彻底的解决还没有时间表。
值得注意的是,趋势科技的中国业务已经于2015年被亚信安全收购,因此,中国亚信安全的客户也可能中招。
据悉,这不是趋势科技客户端安全软件第一次爆出此类低级后门,在2016年1月,Google Project Zero的安全研究员就曾经发现了趋势科技客户端安全软件的一个后门( https://bugs.chromium.org/p/projectzero/issues/detail?id=693),通过精心构造的网页可以直接以本地用户权限执行任意程序,甚至可以用于窃取用户保存的密码。
安全研究人员建议,趋势科技的用户,使用如下手段检测自己机器上是否存在此后门:在客户端上下载 https://bugs.chromium.org/p/project-zero/issues/attachment?aid=228435 Google Project Zero官方提供的测试页面,使用任意浏览器打开,如果发现桌面上弹出了计算器程序,表示本地使用的趋势科技客户端存在此后门。