趋势科技防威胁工具包远程代码执行漏洞安全通告
发布时间 2019-10-23漏洞编号和级别
CVE编号:CVE-2019-9491,危险级别:高危,CVSS分值:官方未评定,厂商自评7.5
影响版本
ATTK 1.62.0.1218 及以下版本。
单机版影响 ATTK组件及其它部分(如 WCRY补丁工具、OfficeScanToolbox 等)
漏洞概述
趋势科技防威胁工具集(Anti-Threat Toolkit,简称 ATTK)中被曝存在一个缺陷,可被黑客用于在受害者 Windows 计算机上运行恶意软件。
CVE-2019-9491由Hyp3rlinx发现。ATTK可被诱骗执行任意软件,包括恶意软件在内。当恶意软件被扫描时,如果文件名是 cmd.exe 或 regedit.exe,那么恶意软件就会被执行。
如果恶意软件作者碰巧使用了易受攻击的命名约定‘cmd.exe’或‘regedit.exe’,ATTK 将会加载并执行任意 .EXE 文件。当终端用户启动扫描时,恶意软件就可放在 ATTK附近。
ATTK 可被诱骗运行病毒。如果你能够通过下载器或邮件等方式在别人的电脑上将文件保存为cmd.exe 或 regedit.exe,那么攻击者就可以通过运行 ATTK执行恶意代码。
由于ATTK 是由经验证的发布方签名的,因此如果恶意软件是从互联网上下载的,那么它会绕过任何可信的MOTW安全警告,同时因为每次运行 ATTK 时也会运行恶意软件,因此它也成为一种持久性机制。
漏洞验证
EXP:
通过如下 C 代码编译一个 .EXE,并使用“cmd.exe”或“regedit.exe”作为命名约定。运行 ATTK工具并观察 ATTK面板以查看木马文件被加载且执行的过程。
#include <windows.h>
void main(void){
puts("Trend Micro Anti-Threat Toolkit PWNED!");
puts("Discovery: hyp3rlinx");
puts("CVE-2019-9491\n");
WinExec("powershell", 0);
}
PoC 视频URL:
https://www.youtube.com/watch?v=HBrRVe8WCHs
修复建议
趋势科技现已将所有 ATTK更新至 1.62.0.1223版本。但尚未公布细节。
https://success.trendmicro.com/solution/000149878
参考链接
http://hyp3rlinx.altervista.org/advisories/TREND-MICRO-ANTI-THREAT-TOOLKIT-(ATTK)-REMOTE-CODE-EXECUTION.txt
京公网安备11010802024551号