趋势科技安全工具可被用于在Windows上运行恶意软件

近期，安全专家John Page（又名hyp3rlinx）表示趋势科技反威胁工具包（Trend Micro Anti-Threat Toolkit）中存在一个漏洞可以被攻击者利用，以较为隐秘的方式执行恶意代码，一定程度上规避安全防御，该漏洞被标记为CVE-2019-9491。

趋势科技反威胁工具包可帮助用户分析机器上恶意软件，并进行清理。它可以执行全面且系统安全扫描，清理植入到机器上的各种恶意软件。

而研究人员在报告中表示，当攻击者把恶意软件命名为cmd.exe或regedit.exe，且恶意软件和趋势科技反威胁工具包处于同一目录时，一旦用户启动一个安全扫描，工具包就会加载并执行恶意软件，且系统不会有任何告警。

由于反威胁工具包具有合法签名，且通常被用户所信任，因此一旦攻击者把恶意软件和工具包放在一起，那么每次工具包运行，恶意软件就会被执行，而Windows系统本身的防御机制（例如MOTW机制）也难以阻止。此外它还可以帮助攻击者持久控制受害者，每次反威胁工具包运行时，攻击者都能收到响应。

而要实现这一切，只需攻击者将恶意软件命令为cmd.exe或regedit.exe即可。这主要应用于攻击者在进入受害者系统后的长期控制中。

研究人员还放出了PoC视频：

https://www.youtube.com/watch?v=HBrRVe8WCHs

PoC

视频演示中的软件代码如下：

#include <windows.h>

void main(void){
   puts("Trend Micro Anti-Threat Toolkit PWNED!");
   puts("Discovery: hyp3rlinx");
   puts("CVE-2019-9491\n");
   WinExec("powershell", 0);
}

影响版本

趋势科技反威胁工具包 1.62.0.1218及以下版本

漏洞时间线

2019年9月9日：通知厂商

2019年9月25日：厂商确认漏洞存在

2019年9月25日：和厂商进行协商

2019年10月19日：披露漏洞信息

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://securityaffairs.co/wordpress/92818/hacking/trend-micro-anti-threat-toolkit-flaw.html