Eigentlich soll Trend Micros Windows-Schutzlösung Anti-Threat Toolkit (ATTK) Malware aufspüren und erledigen. Doch Angreifer könnten ATTK bestimmte Dateien mit Schadcode unterjubeln, die die AV-Software während eines Scans ohne Umschweife ausführt.
Davon sind die Ausgaben bis einschließlich 1.62.0.1218 betroffen. Nun hat Trend Micro die abgesicherte ATTK-Version 1.62.0.1223 veröffentlicht. Die Remotde-Code-Execution-Lücke (CVE-2019-9491) ist mit dem Bedrohungsgrad "hoch" eingestuft. Als einzige Hürde muss ein Angreifer lediglich dafür sorgen, dass eine präparierte Datei auf einem Computer eines Opfers landet. Das kann beispielsweise als Anhang einer gefälschten Mail oder als Download geschehen.
Dateiname als Wurzel des Übels
Damit ATTK eine Datei ungefragt ausführt, muss ein Angreifer seinen Schadcode lediglich mit dem Dateinamen "cmd.exe" oder "regedit.exe" benennen. Offensichtlich stuft ATTK diese Bezeichnung global als sicher ein und führt damit benannte Dateien bei jedem Scanvorgang aus. So könnte sich Schadcode dauerhaft auf einem Computer einnisten und bei jedem Scan erneut für Unheil sorgen.
Entdeckt hat die Schwachstelle der Sicherheitsforscher John Page. In einem Beitrag führt Page weitere technische Details zur Lücke aus. Dort findet man auch seinen PoC-Code. Eigenen Angaben zufolge hat er Trend Micro Anfang September benachrichtigt. Am 25. Oktober haben beide Parteien dann die Offenlegung der Schwachstelle kommuniziert. In dieser Zeit ist vermutlich auch der Patch entstanden.
In einem Proof-of-Concept-Video kann man sich anschauen, wie der Fehler in ATTK Windows-PCs potenziell verwundbar macht
Quelle: Sicherheitsupdate: Trend Micros Anti-Threat Toolkit führt Trojaner aus | heise online