趋势科技防威胁工具包远程代码实行漏洞安全通告

发布时间 2019-10-23

漏洞编号和级别


CVE编号:CVE-2019-9491,危险级别:高危,CVSS分值:官方未评定,厂商自评7.5


影响版本


ATTK 1.62.0.1218 及以下版本。


单机版影响 ATTK组件及其它部分(如 WCRY补丁工具、OfficeScanToolbox 等)


漏洞概述


趋势科技防威胁工具集(Anti-Threat Toolkit,简称 ATTK)中被曝存在一个缺陷,可被黑客用于在受害者 Windows 计算机上运行恶意App。


CVE-2019-9491由Hyp3rlinx发现。ATTK可被诱骗实行任意App,包括恶意App在内。当恶意App被扫描时,如果文件名是 cmd.exe 或 regedit.exe,那么恶意App就会被实行。


如果恶意App编辑碰巧使用了易受攻击的命名约定‘cmd.exe’或‘regedit.exe’,ATTK 将会加载并实行任意 .EXE 文件。当终端用户启动扫描时,恶意App就可放在 ATTK附近。


ATTK 可被诱骗运行病毒。如果你能够通过下载器或邮件等方式在别人的电脑上将文件保存为cmd.exe 或 regedit.exe,那么攻击者就可以通过运行 ATTK实行恶意代码。


由于ATTK 是由经验证的发布方签名的,因此如果恶意App是从互联网上下载的,那么它会绕过任何可信的MOTW安全警告,同时因为每次运行 ATTK 时也会运行恶意App,因此它也成为一种持久性机制。


漏洞验证


EXP:

通过如下 C 代码编译一个 .EXE,并使用“cmd.exe”或“regedit.exe”作为命名约定。运行 ATTK工具并观察 ATTK面板以查看木马文件被加载且实行的过程。


#include <windows.h>

void main(void){

  puts("Trend Micro Anti-Threat Toolkit PWNED!");

  puts("Discovery: hyp3rlinx");

  puts("CVE-2019-9491\n");

  WinExec("powershell", 0);

}


PoC 视频URL:


https://www.youtube.com/watch?v=HBrRVe8WCHs




修复建议


趋势科技现已将所有 ATTK更新至 1.62.0.1223版本。但尚未公布细节。

https://success.trendmicro.com/solution/000149878


参考链接


http://hyp3rlinx.altervista.org/advisories/TREND-MICRO-ANTI-THREAT-TOOLKIT-(ATTK)-REMOTE-CODE-EXECUTION.txt