近期,安全专家John Page(又名hyp3rlinx)表示趋势科技反威胁工具包(Trend Micro Anti-Threat Toolkit)中存在一个漏洞可以被攻击者利用,以较为隐秘的方式执行恶意代码,一定程度上规避安全防御,该漏洞被标记为CVE-2019-9491。
趋势科技反威胁工具包可帮助用户分析机器上恶意软件,并进行清理。它可以执行全面且系统安全扫描,清理植入到机器上的各种恶意软件。
而研究人员在报告中表示,当攻击者把恶意软件命名为cmd.exe或regedit.exe,且恶意软件和趋势科技反威胁工具包处于同一目录时,一旦用户启动一个安全扫描,工具包就会加载并执行恶意软件,且系统不会有任何告警。
由于反威胁工具包具有合法签名,且通常被用户所信任,因此一旦攻击者把恶意软件和工具包放在一起,那么每次工具包运行,恶意软件就会被执行,而Windows系统本身的防御机制(例如MOTW机制)也难以阻止。此外它还可以帮助攻击者持久控制受害者,每次反威胁工具包运行时,攻击者都能收到响应。
而要实现这一切,只需攻击者将恶意软件命令为cmd.exe或regedit.exe即可。这主要应用于攻击者在进入受害者系统后的长期控制中。
研究人员还放出了PoC视频:
https://www.youtube.com/watch?v=HBrRVe8WCHs
PoC
视频演示中的软件代码如下:
#include
void main(void){
puts("Trend Micro Anti-Threat Toolkit PWNED!");
puts("Discovery: hyp3rlinx");
puts("CVE-2019-9491 ");
WinExec("powershell", 0);
}
影响版本
趋势科技反威胁工具包 1.62.0.1218及以下版本
漏洞时间线
2019年9月9日:通知厂商
2019年9月25日:厂商确认漏洞存在
2019年9月25日:和厂商进行协商
2019年10月19日:披露漏洞信息