Lỗ hổng thực thi mã từ xa RCE được tìm thấy trong Trend Micro Anti-Threat Toolkit (ATTK)

Lỗ hổng trong ATTK

Gần đây, một nhà nghiên cứu đã tìm thấy lỗ hổng tồn tại trong Trend Micro ATTK cho phép các hacker thực thi mã từ xa.

Micro Anti-Threat Toolkit (ATTK) của Trend Micro là một công cụ chuyên dụng được thiết kế để chống lại sự lây nhiễm của các phần mềm độc hại. Tuy nhiên, giống như bất kỳ phần mềm chống virus nào khác, công cụ này vẫn có thể chứa các lỗi bảo mật. Gần đây, một nhà nghiên cứu đã tìm thấy lỗ hổng tồn tại trong Trend Micro ATTK cho phép các hacker thực thi mã từ xa.

Giới thiệu về lỗ hổng trong Trend Micro Anti-Threat Toolkit (ATTK)

Nhà nghiên cứu John Page với bí danh trực tuyến hyp3rlinx đã phát hiện được một lỗ hổng bảo mật tồn tại trong Trend Micro ATTK.

Trong tư vấn bảo mật mới được đưa ra, nhà nghiên cứu cho biết lỗ hổng này cho phép kẻ tấn công tiềm năng thực thi mã từ xa. Đáng chú ý, một khi lỗ hổng được khai thác thành công, các hacker thậm chí còn có thể chạy các malware trên thiết bị của người dùng.

Trend Micro Anti-Threat Toolkit (ATTK) sẽ tải và thực thi các tệp .EXE tùy ý nếu tác giả của malware sử dụng quy ước đặt tên chứa lỗ hổng như “cmd.exe”, hoặc “regedit.exe”. Malware sau đó có thể được đặt ở các vùng xung quanh ATTK khi người dùng cuối khởi chạy thao tác quét. Vì ATTK được ký xác minh bởi một nhà xuất bản hợp lệ, do đó mọi hoạt động có liên quan tới công cụ này đều được cho là đáng tin cậy. Chính vì vậy, mọi cảnh báo bảo mật đều sẽ bị bypass nếu malware được tải xuống từ Internet.

Lỗ hổng có thể đóng vai trò như một vectơ liên tục để triển khai malware và thực thi mã mỗi khi ATTK khởi chạy.

Bên cạnh tư vấn bảo mật, nhà nghiên cứu cũng đã chia sẻ một video PoC mô phỏng lỗ hổng.

Trend Micro đã phát hành bản sửa lỗi

 Sau khi phát hiện ra lỗ hổng CVE-2019-9491, nhà nghiên cứu đã báo cáo thông tin chi tiết cho Trend Micro vào tháng 9. Phía nhà cung cấp đã xác nhận sự tồn tại của lỗ hổng trong sản phẩm của mình chỉ vài ngày sau đó.

Lỗ hổng ảnh hưởng đến các phiên bản ATTK 1.62.0.1218 trở xuống dành cho Windows. Trend Micro cho biết gần đây đã phát hành một phiên bản cập nhật của ATTK để vá lỗi này.

Người dùng được khuyến nghị để cập nhật hệ thống lên ATTK phiên bản 1.62.0.1223 để ngăn chặn mọi hành vi khai thác lỗ hổng có thể xảy ra. Trong một tin tức khác, Avast gần đây đã bị tấn công vi phạm bảo mật. Các hacker đã nhắm vào hệ thống của Avast nhằm mục đích lây nhiễm malware cho ứng dụng CCleaner của công ty.

LHN