Исследователь Джон Пейдж (John Page), также известный под ником hyp3rlinx, рассказал об обнаружении уязвимости CVE-2019-9491, затрагивающей Trend Micro Anti-Threat Toolkit (ATTK) и допускающей исполнение произвольного кода.
Пейдж обнаружил, что ATTK можно обмануть и вынудить выполнить любую программу или произвольную малварь во время сканирования. Для этого достаточно просто назвать нужный файл cmd.exe или regedit.exe. Фактически злоумышленнику достаточно сохранить файл с именем cmd.exe или regedit.exe на компьютере жертвы (например, это может быть вложение в электронной почте) и тот будет выполнен ATTK.
Так как ATTK подписан проверенным издателем, это поможет обойти любые предупреждения безопасности MOTW. Кроме того, если малварь была загружена из интернета, ATTK может стать механизмом для ее постоянного присутствия в системе, так как каждый раз, когда запускается Anti-Threat Toolkit, будет выполняться малварь. Демонстрацию проблемы можно увидеть в ролике ниже.
Разработчики Trend Micro уже исправили эту уязвимость, выпустив патч в конце прошлой недели. Теперь пользователям советуют как можно скорее обновить ATTK до версии 1.62.0.1223.
