首页 > 清静研究 > 清静转达 > 清静通告

趋势科技防威胁工具包远程代码执行误差清静通告

宣布时间 2019-10-23

误差编号和级别

CVE编号：CVE-2019-9491，，，，，危险级别：高危，，，，，CVSS分值：官方未评定，，，，，厂商自评7.5

影响版本

ATTK 1.62.0.1218 及以下版本。。。。。。

单机版影响 ATTK组件及其它部分（如 WCRY补丁工具、OfficeScanToolbox 等）

误差概述

趋势科技防威胁工具集（Anti-Threat Toolkit，，，，，简称 ATTK）中被曝保存一个缺陷，，，，，可被黑客用于在受害者 Windows 盘算机上运行恶意软件。。。。。。

CVE-2019-9491由Hyp3rlinx发明。。。。。。ATTK可被诱骗执行恣意软件，，，，，包括恶意软件在内。。。。。。当恶意软件被扫描时，，，，，若是文件名是 cmd.exe 或 regedit.exe，，，，，那么恶意软件就会被执行。。。。。。

若是恶意软件作者恰巧使用了易受攻击的命名约定‘cmd.exe’或‘regedit.exe’，，，，，ATTK 将会加载并执行恣意 .EXE 文件。。。。。。当终端用户启动扫描时，，，，，恶意软件就可放在 ATTK周围。。。。。。

ATTK 可被诱骗运行病毒。。。。。。若是你能够通过下载器或邮件等方法在别人的电脑上将文件生涯为cmd.exe 或 regedit.exe，，，，，那么攻击者就可以通过运行 ATTK执行恶意代码。。。。。。

由于ATTK 是由履历证的宣布方署名的，，，，，因此若是恶意软件是从互联网上下载的，，，，，那么它会绕过任何可信的MOTW清静忠言，，，，，同时由于每次运行 ATTK 时也会运行恶意软件，，，，，因此它也成为一种长期性机制。。。。。。

误差验证

EXP：

通过如下 C 代码编译一个 .EXE，，，，，并使用“cmd.exe”或“regedit.exe”作为命名约定。。。。。。运行 ATTK工具并视察 ATTK面板以审查木马文件被加载且执行的历程。。。。。。

#include <windows.h>

void main(void){

puts("Trend Micro Anti-Threat Toolkit PWNED!");

puts("Discovery: hyp3rlinx");

puts("CVE-2019-9491\n");

WinExec("powershell", 0);

}

PoC 视频URL：

https://www.youtube.com/watch?v=HBrRVe8WCHs

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

修复建议

趋势科技现已将所有 ATTK更新至 1.62.0.1223版本。。。。。。但尚未宣布细节。。。。。。

https://success.trendmicro.com/solution/000149878

参考链接

http://hyp3rlinx.altervista.org/advisories/TREND-MICRO-ANTI-THREAT-TOOLKIT-(ATTK)-REMOTE-CODE-EXECUTION.txt

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究

趋势科技防威胁工具包远程代码执行误差清静通告

关于鉴黑担保网

解决计划

联系鉴黑担保网

7*24小时效劳热线