北京時間3月31日凌晨,據谷歌安全團隊 Project Zero披露,谷歌的安全研究人員在安全公司趨勢科技的客戶端安全軟件當中,發現一個低級的后門。在安裝了該客戶端安全軟件之后,默認會啟動一個網頁服務器,這個服務器會針對一段精心構造的請求做出響應,啟動任意在本地的程序。通過這個后門,黑客可以通過在網頁上直接插入一段惡意代碼,當安裝有該客戶端軟件的用戶打開此網頁時,可以實現直接執行惡意代碼,或者下載惡意代碼執行。
根據Project Zero網頁提供的信息,趨勢科技表示,后門來自第三方代碼,因此他們暫時無法對此進行徹底的修復,只能先提供針對這個攻擊入口的緩解措施。目前針對這個攻擊入口的緩解程序已經放出,但徹底的解決還沒有時間表。
值得注意的是,趨勢科技的中國業務已經于2015年被亞信安全收購,因此,中國亞信安全的客戶也可能中招。
據悉,這不是趨勢科技客戶端安全軟件第一次爆出此類低級后門,在2016年1月,Google Project Zero的安全研究員就曾經發現了趨勢科技客戶端安全軟件的一個后門( https://bugs.chromium.org/p/project-zero/issues/detail?id=693),通過精心構造的網頁可以直接以本地用戶權限執行任意程序,甚至可以用于竊取用戶保存的密碼。
安全研究人員建議,趨勢科技的用戶,使用如下手段檢測自己機器上是否存在此后門:在客戶端上下載 https://bugs.chromium.org/p/project-zero/issues/attachment?aid=228435 Google Project Zero官方提供的測試頁面,使用任意瀏覽器打開,如果發現桌面上彈出了計算器程序,表示本地使用的趨勢科技客戶端存在此后門。