趨勢科技反威脅工具包存在漏洞 啟動安全掃描就會執行惡意軟件

投稿人/來源:nosec安全訊息平臺 | 2019-10-24 15:13:14 |

22.jpg

近期,安全專家John Page(又名hyp3rlinx)表示趨勢科技反威脅工具包(Trend Micro Anti-Threat Toolkit)中存在一個漏洞可以被攻擊者利用,以較為隱秘的方式執行惡意代碼,一定程度上規避安全防御,該漏洞被標記為CVE-2019-9491。

趨勢科技反威脅工具包可幫助用戶分析機器上惡意軟件,并進行清理。它可以執行全面且系統安全掃描,清理植入到機器上的各種惡意軟件。

33.png

而研究人員在報告中表示,當攻擊者把惡意軟件命名為cmd.exe或regedit.exe,且惡意軟件和趨勢科技反威脅工具包處于同一目錄時,一旦用戶啟動一個安全掃描,工具包就會加載并執行惡意軟件,且系統不會有任何告警。

由于反威脅工具包具有合法簽名,且通常被用戶所信任,因此一旦攻擊者把惡意軟件和工具包放在一起,那么每次工具包運行,惡意軟件就會被執行,而Windows系統本身的防御機制(例如MOTW機制)也難以阻止。此外它還可以幫助攻擊者持久控制受害者,每次反威脅工具包運行時,攻擊者都能收到響應。

而要實現這一切,只需攻擊者將惡意軟件命令為cmd.exe或regedit.exe即可。這主要應用于攻擊者在進入受害者系統后的長期控制中。

研究人員還放出了PoC視頻:

https://www.youtube.com/watch?v=HBrRVe8WCHs

44.png

PoC

視頻演示中的軟件代碼如下:

#include

void main(void){

puts("Trend Micro Anti-Threat Toolkit PWNED!");

puts("Discovery: hyp3rlinx");

puts("CVE-2019-9491n");

WinExec("powershell", 0);

}

影響版本

趨勢科技反威脅工具包 1.62.0.1218及以下版本

漏洞時間線

2019年9月9日:通知廠商

2019年9月25日:廠商確認漏洞存在

2019年9月25日:和廠商進行協商

2019年10月19日:披露漏洞信息


福彩3d先进宝图高清