Sicherheitsupdate: Trend Micros Anti-Threat Toolkit führt Trojaner aus

Fataler Fehler: Angreifer könnten eine AV-Software von Trend Micro mit erschreckend wenig Aufwand überlisten. Ein Patch beseitigt das Sicherheitsproblem.

In Pocket speichern vorlesen Druckansicht 51 Kommentare lesen
Sicherheitsupdate: Trend Micros Anti-Threat Toolkit führt Trojaner aus

(Bild: Artur Szczybylo/Shutterstock.com)

Lesezeit: 2 Min.

Eigentlich soll Trend Micros Windows-Schutzlösung Anti-Threat Toolkit (ATTK) Malware aufspüren und erledigen. Doch Angreifer könnten ATTK bestimmte Dateien mit Schadcode unterjubeln, die die AV-Software während eines Scans ohne Umschweife ausführt.

Davon sind die Ausgaben bis einschließlich 1.62.0.1218 betroffen. Nun hat Trend Micro die abgesicherte ATTK-Version 1.62.0.1223 veröffentlicht. Die Remotde-Code-Execution-Lücke (CVE-2019-9491) ist mit dem Bedrohungsgrad "hoch" eingestuft. Als einzige Hürde muss ein Angreifer lediglich dafür sorgen, dass eine präparierte Datei auf einem Computer eines Opfers landet. Das kann beispielsweise als Anhang einer gefälschten Mail oder als Download geschehen.

Aus der Beschreibung der Lücke geht nicht konkret hervor, wo die Datei liegen muss. Es ist nur die Rede davon, dass sie sich "in der Nähe von ATTK" befinden muss. Unter Umständen sind zum Kopieren an diesen Ort Admin-Rechte vonnöten.

Damit ATTK eine Datei ungefragt ausführt, muss ein Angreifer seinen Schadcode lediglich mit dem Dateinamen "cmd.exe" oder "regedit.exe" benennen. Offensichtlich stuft ATTK diese Bezeichnung global als sicher ein und führt damit benannte Dateien bei jedem Scanvorgang aus. So könnte sich Schadcode dauerhaft auf einem Computer einnisten und bei jedem Scan erneut für Unheil sorgen.

Entdeckt hat die Schwachstelle der Sicherheitsforscher John Page. In einem Beitrag führt Page weitere technische Details zur Lücke aus. Dort findet man auch seinen PoC-Code. Eigenen Angaben zufolge hat er Trend Micro Anfang September benachrichtigt. Am 25. September haben beide Parteien dann die Offenlegung der Schwachstelle kommuniziert. In dieser Zeit ist vermutlich auch der Patch entstanden.

In einem Proof-of-Concept-Video kann man sich anschauen, wie der Fehler in ATTK Windows-PCs potenziell verwundbar macht.

[UPDATE, 24.10.2019 08:50 Uhr]

Dateispeicherort im Fließtext ausführlicher dargestellt. (des)