Falls ihr das Trend Micro Anti-Threat Toolkit (ATTK) einsetzt, solltet ihr das Produkt dringend aktualisieren. Ältere Versionen können durch Malware auf einfache Weise ausgetrickst werden.
Anzeige
Mit dem Trend Micro Anti-Threat Toolkit (ATTK) können Nutzer Malware-Probleme analysieren und Infektionen beseitigen, so die Werbung des Herstellers. Es ist keine reguläre Virenschutzlösung, sondern ein Tool, welches man sich lädt und auf seinem System ausführt, wenn der Verdacht auf eine Infektion vorliegt.
(Trend Micro Anti-Threat Toolkit (ATTK))
Das Tool gibt es hier in der aktuellen Build 1.62.0.1223 für Windows zum Download. Allerdings schlägt bei mir bereits beim Download die Chrome Erkennung für unsichere Software mit einer Warnung an. Man kann die heruntergeladene .exe-Datei dann mit administrativen Berechtigungen ausführen. Es öffnet sich ein DOS-Fenster, in dem bestimmte Befehle per BAT-Programm ausgeführt werden. Auch hier hat Microsoft Security Essentials (MSE) angeschlagen und gleich einige 'Bedrohungen bereinigt. Anschließend bietet das ATTK einen Malware-Scan an.
Auf Grund dieser vielfältigen Warnungen dürften nur die wenigsten Nutzern das Toolkit ausführen. Ich meine mich zu erinnern, das Tool-Kit mal vor vielen Jahren auf dem Rechner getestet zu haben. Da MSE aber angeschlagen hat, ist es längst aus dem Download-Ordner entfernt worden.
Sicherheitswarnung vom 21. Oktober 2019
Zum 21. Oktober 2019 hat Trend Micro aber diese Sicherheitswarnung zur Schwachstelle CVE-2019-9491 herausgegeben. Das Anti-Threat Toolkit (ATTK) in der Windows-Version 1.62.0.1218 und älter weist eine Remote Code Execution (RCE) Schwachstelle auf. Das Problem: Verwundbare ATTK-Versionen können es einem Angreifer ermöglichen, bösartige Dateien im gleichen Verzeichnis abzulegen. Da das Tool Administratorberechtigungen benötigt, kann das bei Ausführung des ATTK zu einer Arbitrary Remote Code Execution (RCE) führen. Nutzern wird dringend empfohlen, so schnell wie möglich auf die neueste Version umzusteigen.
Anzeige
Schwachstelle im Detail
Der Sicherheitsforscher John Page war auf diese Schwachstelle gestoßen und hat das Ganze auf dieser Seite beschrieben. Die Ausnutzung ist quasi trivial: Der Malware-Autor muss nur Dateien in das ATTK-Verzeichnis speichern und diese mit "cmd.exe" oder "regedit.exe" benennen. Dann lädt und führt das Trend Micro Anti-Threat Toolkit (ATTK) diese .exe-Dateien mit administrativen Berechtigungen aus. Wer sich für die Thematik interessiert, heise hat einen Artikel zum Thema veröffentlicht.
Anzeige
"Nutzern wird dringend empfohlen, so schnell wie möglich auf die neueste Version umzusteigen."
Regen->Traufe!
Auch die "reparierte" Version des von TrendMicro verbrochenen SCHROTTs hat selbstverständlich die industrieüblichen Anfängerfehler und erlaubt weiterhin "remote code execution"!
JFTR: diese noch immer nicht gestopfte Sicherheitslücke habe ich diesem SAFTLADEN vor VIELEN Jahren gemeldet … aber sie beglücken ihre nichts Böses ahnenden Kunden weiterhin mit einfachst angreifbarem SCHROTT!
eine proprietäre %mischung% kaffee trinken und > ruhe bewahren!&exit/b
eine ware ist * nur soviel WERT wie der "code" der drin steckt. "firm" hin und/oder her.
wer die plat[t]form, den exploit, das "forum" denselben {ö}ffentlich zu machen, das patent, die lizenz, den mut, das moos && die skillsz – besitzt.. ist am ausgang sicher h{ö}chst interessiert.
wer wird denn wann wovon warum wozu von wem in welchem maß'
angegriffen? und gibt es eine wissensgrundlage (KB) die welche das problem qualitativ löst?!