Trend Micro의 Anti-Threat Toolkit, 윈도우 PC에서 악성코드를 실행하는데 사용 가능해

Trend Micro Anti-Threat Toolkit could be used to run malware on Win PCs

보안 전문가이자 버그 사냥꾼인 John “hyp3rlinx” Page가 Trend Micro의 Anti-Threat Toolkit(ATTK)에 존재하는 임의 코드 실행 취약점을(CVE-2019-9491) 발견했습니다.

Trend Micro ATTK는 악성 코드 관련 이슈를 분석하고 감염을 치료할 수 있는 프로그램입니다. 시스템 포렌식 스캔 및 다양한 감염을 치료하는데 사용될 수 있습니다.

공격자가 이 취약점을 악용할 경우 타깃 윈도우 컴퓨터에서 악성 코드를 실행할 수 있습니다.

<이미지 출처 : https://securityaffairs.co/wordpress/92818/hacking/trend-micro-anti-threat-toolkit-flaw.html>

“악성코드 제작자가 취약한 네이밍 관습인 “cmd.exe” 또는 “regedit.exe”를 사용할 경우, Trend Micro Anti-Threat Toolkit (ATTK)는 임의 .EXE 파일을 로드하고 실행할 것입니다. 최종 사용자가 스캔을 실행했을 때 해당 악성코드가 ATTK의 근처에 드랍 될 수 있습니다.”

“인증 된 퍼블리셔에서 ATTK를 서명 및 검증 했기 때문에, 신뢰할 수 있는 것으로 간주 되어 악성 코드가 인터넷에서 다운로드 된 경우에도 모든 MOTW 보안 경고를 우회할 수 있습니다. 게다가 ATTK가 실행 될 때 마다 공격자의 악성코드도 실행될 수 있기 때문에 지속성 또한 얻을 수 있습니다.”

이 전문가는 Trend Micro의 ATTK가 “cmd.exe”, “regedit.exe”라는 이름이 붙은 어떤 악성 코드도 실행하도록 속이는 것이 가능했다고 밝혔습니다.

ATTK를 실행하는 타깃 PC에서 악성 코드를 위의 파일명으로 저장할 수 있는 공격자라면 이 취약점을 악용할 수 있습니다.

이 전문가는 권고문을 통해 PoC 익스플로잇 또한 공개하였습니다.

출처 :

https://securityaffairs.co/wordpress/92818/hacking/trend-micro-anti-threat-toolkit-flaw.html

http://hyp3rlinx.altervista.org/advisories/TREND-MICRO-ANTI-THREAT-TOOLKIT-(ATTK)-REMOTE-CODE-EXECUTION.txt