Normalerweise soll Trend Micros Anti-Threat Toolkit (ATTK) Malware aufspüren und entfernen. Jedoch besteht eine Gefahr, dass Angreifer bestimmte Dateien mit Schadcode in die AV-Software einschleusen können die während eines Scans ohne Vorwarnung ausgeführt werden. Diese Schwachstelle betrifft alle Versionen bis einschließlich 1․62․0.1218 des Tools. Trend Micro hat nun eine abgesicherte Version 1․62․0.1223 des ATTK veröffentlicht. Die Remotde-Code-Execution-Lücke (CVE-2019-9491) wird als "hoch" eingestuft. Ein Angreifer muss lediglich eine präparierte Datei auf einem Computer des Opfers platzieren um die Schwachstelle auszunutzen. Dies kann beispielsweise durch eine gefälschte E-Mail oder einen Download geschehen.
Dateiname als Wurzel des Übels
Damit ATTK eine Datei ungefragt ausführt, muss ein Angreifer seinen Schadcode lediglich mit dem Dateinamen "cmd.exe" oder "regedit.exe" benennen. Offensichtlich stuft ATTK diese Bezeichnung global als sicher ein und führt damit benannte Dateien bei jedem Scanvorgang aus. So könnte sich Schadcode dauerhaft auf einem Computer einnisten und bei jedem Scan erneut für Unheil sorgen.
Entdeckt hat die Schwachstelle der Sicherheitsforscher John Page. In einem Beitrag führt Page weitere technische Details zur Lücke aus. Dort findet man ebenfalls seinen PoC-Code. Eigenen Angaben zufolge hat er Trend Micro Anfang September benachrichtigt. Am 25. Oktober haben beide Parteien dann die Offenlegung der Schwachstelle kommuniziert. In dieser Zeit ist vermutlich auch der Patch entstanden.
In einem Proof-of-Concept-Video kann man sich anschauen, ebenso wie der Fehler in ATTK Windows-PCs potenziell verwundbar macht.
Kommentare