趋势科技反威胁工具集被曝 RCE 漏洞：如文件名是 cmd.exe 或 regedit.exe，则运行恶意软件

趋势科技反威胁工具集（Anti-Threat Toolkit，简称 ATTK）中被曝存在一个缺陷，可被黑客用于在受害者 Windows 计算机上运行恶意软件。

该漏洞 (CVE-2019-9491) 由漏洞猎人 John“hyp3rlinx” Page 发现，它是存在于ATTK工具中的任意代码执行漏洞。

简言之，ATTK可被诱骗执行任何老旧的软件，包括恶意软件在内。当恶意软件被扫描时，如果文件名是 cmd.exe 或 regedit.exe，那么恶意软件就会被执行。

Hyp3rlinx 在上周六解释称，“如果恶意软件作者碰巧使用了易受攻击的命名约定‘cmd.exe’或‘regedit.exe’，ATTK 将会加载并执行任意 .EXE 文件。当终端用户启动扫描时，恶意软件就可放在 ATTK附近。”

换句话说，ATTK 可被诱骗运行病毒。如果你能够通过下载器或邮件等方式在别人的电脑上将文件保存为 cmd.exe 或 regedit.exe，那么他们就可以运行 ATTK，而你就可以在他们的机器上运行恶意代码。

Hyp3rlinx 补充道，“由于 ATTK 是由经验证的发布方签名的，因此如果恶意软件是从互联网上下载的，那么它会绕过任何可信的 MOTW 安全警告，同时因为每次运行 ATTK 时也会运行恶意软件，因此它也成为一种持久性机制。”

ATTK 1.62.0.1218 及以下版本。

单机版影响 ATTK组件及其它部分（如 WCRY补丁工具、OfficeScanToolbox 等）。

通过如下 C 代码编译一个 .EXE，并使用“cmd.exe”或“regedit.exe”作为命名约定。运行 ATTK工具并观察 ATTK面板以查看木马文件被加载且执行的过程。

PoC 视频URL：

https://www.youtube.com/watch?v=HBrRVe8WCHs

趋势科技现已将所有 ATTK更新至 1.62.0.1223版本。但尚未公布细节。

毋庸置疑，远程代码执行漏洞对于一款安全工具而言并非好事。你本来想着保护机器的软件竟然被诱骗执行恶意软件！

该漏洞也并非秘密。Hyp3rlinx表示，他在今年9月9日将问题告知趋势科技，后者在当月25日进行了确认并邀请 hyp3rlinx 就安全公告进行协作。Hyp3rlinx 在10月19日公开该漏洞。

https://www.theregister.co.uk/2019/10/21/flaw_trend_micro/

http://hyp3rlinx.altervista.org/advisories/TREND-MICRO-ANTI-THREAT-TOOLKIT-(ATTK)-REMOTE-CODE-EXECUTION.txt