トレンドマイクロが無償提供しているセキュリティ確認ツールにとんでもない脆弱性があったことが判明

トレンドマイクロが法人向けに無償提供するツールに任意のコードが実行可能な脆弱性 - 窓の杜

脆弱性対策情報ポータルサイト“JVN”は11月11日、脆弱性レポート(JVNVU#91935870)を公開した。トレンドマイクロ(株)が法人向けに無償提供している「Trend Micro Anti-Threat Toolkit(ATTK)」にディレクトリトラバーサルの脆弱性が存在するとして注意を喚起している。

 「ATTK」は、トレンドマイクロ製品のユーザーがPCの不具合を相談してきた際、その解決のためにPCのシステム情報を収集したり、PCに不正プログラムと疑わしきファイルがないかチェックするために提供するツール。レポートによると、「ATTK」のv1.62.0.1218およびそれ以前のバージョンには、実行フォルダ配下に特定の不正なファイルを配置することで、任意のコードが実行可能な脆弱性が存在する(CVE-2019-9491)。

このニュースあまり注視していなかったのですが、海外では大々的にヤバい欠陥だと報道されていたようです。調べてみたところ、斜め下のとんでもない欠陥だったのです。

ATTK of the Pwns: Trend Micro's antivirus tools 'will run malware – if its filename is cmd.exe' • The Register

検索機能付ウイルス対策ツールキット(ATTK)の超特典

トレンドマイクロのアンチウイルスツールはマルウェアの名前が cmd.exe だった場合実行してくれます!

 Trend Micro Anti-Threat Toolkitの欠陥がハッカーに悪用され、被害者のWindowsコンピュータでマルウェアを実行する可能性があります。

バグハンターのJohn "hyp3rlinx" Page が、セキュリティツールの任意のコード実行の欠陥であるCVE-2019-9491を発見したことを発表しました。

つまり、トレンドマイクロのソフトウェアは、スキャンしたマルウエアのファイル名がcmd.exeまたはregedit.exeである場合、白日の下でレガシーソフトウェアとして実行するようにだまされる可能性があります。いや、マジで。

「マルウェアの作者が「cmd.exe」または「regedit.exe」の脆弱な命名規則を偶然に使用した場合、Trend Micro Anti-Threat Toolkit(ATTK)は任意の.EXEファイルをロードして実行します」hyp3rlinxは土曜日に説明しました。

「エンドユーザーがスキャンを開始したときに、マルウェアはATTKの近くに配置されている可能性があります。」

つまり、ウイルス対策ソフトウェアをだましてウイルスを実行させることができます。それは良いことではありません。つまり、誰かのPC上のファイルをcmd.exeまたはregedit.exeとしてダウンロードまたは電子メールなどで保存でき、それらがATTKを実行している場合、そのマシンで悪意のあるコードを実行できるようになります。

バグハンターは加えて言います「ATTKは検証済みの発行元によって署名されているため、マルウェアがインターネットからダウンロードされた場合はMOTWセキュリティ警告がバイパスされるため、Anti-Threat Toolkitが実行されるたびに永続的なメカニズムになり、攻撃者のマルウェアにもセキュリティのバイパスが適用されるようになります。」

言うまでもないことですが、リモートコード実行の欠陥はセキュリティツールにとっては良いことではありません。マシンを保護したいソフトウェアをだましてマルウェアを実行させることができます。信じられませんか?以下は、実際の攻撃の概念実証ビデオです。

バグも非公開ではありません。hyp3rlinxによれば、トレンドは9月9日に欠陥を警告され、その月の25日にバグを確認しました。

The Registerは、レポートに対するコメント、およびパッチが発行されたことを確認するためにトレンドマイクロに依頼しましたが、公開時にまだ連絡がありません。R

更新
トレンドのソフトウェアは金曜日にパッチされました。バージョン1.62.0.1223以降を実行していることを確認してください。

任意のコードが実行されるって、普通は複雑な手続きが必要なのですが、ファイル名を cmd.exe や regedit.exe に変えるだけで自動的に実行してくれてセキュリティをバイパスできるようになるって素敵すぎます。
やぁ、もうここまでくると、わざとやってるんじゃないかと思えるほどですね ((((・ω・)))

おすすめ

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です