{"id":225226,"date":"2019-11-25T01:18:00","date_gmt":"2019-11-24T23:18:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=225226"},"modified":"2019-11-25T00:49:23","modified_gmt":"2019-11-24T23:49:23","slug":"ungefixte-schwachstelle-in-tm-anti-threat-toolkit","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/11\/25\/ungefixte-schwachstelle-in-tm-anti-threat-toolkit\/","title":{"rendered":"Schwachstelle in TM Anti-Threat Toolkit weiter ungefixt"},"content":{"rendered":"

[English<\/a>]In Trend Micro Anti-Threat Toolkit sollte durch ein Update des Hersteller die Schwachstelle CVE-2019-9491 im Oktober 2019 gefixt werden. Nach mir vorliegenden Informationen und einem Test ist diese Schwachstelle aber weiterhin offen. Der Ratschlag: Finger weg vom Trend Micro Anti-Threat Toolkit! <\/p>\n

<\/p>\n

Worum geht es?<\/h2>\n

\"\"Das Trend Micro Anti-Threat Toolkit (ATTK) erm\u00f6glicht Nutzern einen Malware-Scan auf einem Windows-System auszuf\u00fchren. Es ist keine regul\u00e4re Virenschutzl\u00f6sung, sondern ein Tool, welches man sich l\u00e4dt und auf seinem System ausf\u00fchrt, wenn der Verdacht auf eine Infektion vorliegt. <\/p>\n

\"Trend
(Trend Micro Anti-Threat Toolkit (ATTK)) <\/p>\n

Zum 21. Oktober 2019 hatte Trend Micro aber diese Sicherheitswarnung<\/a> zur Schwachstelle CVE-2019-9491 herausgegeben. Das Anti-Threat Toolkit (ATTK) in der Windows-Version 1.62.0.1218 und \u00e4lter weist eine Remote Code Execution (RCE) Schwachstelle auf. <\/p>\n

Das Problem: Verwundbare ATTK-Versionen k\u00f6nnen es einem Angreifer erm\u00f6glichen, b\u00f6sartige Dateien im gleichen Verzeichnis abzulegen. Da das Tool Administratorberechtigungen ben\u00f6tigt, kann das bei Ausf\u00fchrung des ATTK zu einer Arbitrary Remote Code Execution (RCE) f\u00fchren. <\/p>\n

Im Oktober 2019 hatte ich im Blog-Beitrag Sicherheitsupdate f\u00fcr Trend Micro Anti-Threat Toolkit<\/a> dar\u00fcber berichtet. Nutzern wurde von Trend Micro dringend empfohlen, so schnell wie m\u00f6glich auf die neueste Version umzusteigen. Das Tool gibt es hier<\/a> in der aktuellen Build 1.62.0.1223 f\u00fcr Windows zum Download. <\/p>\n

Fix f\u00fcr Schwachstelle CVE-2019-9491 wirkungslos<\/h2>\n<\/p>\n

Bereits kurz nach Ver\u00f6ffentlichung des Beitrags wies Stefan Kanthak Trend Micro per Mail (mit Kopie an mich) darauf hin, dass die Schwachstelle ungefixt sei. Da jetzt einige Tage vergangen sind, ver\u00f6ffentliche ich Ausz\u00fcge aus der Mail:<\/p>\n

\n

The updated files attk_ScanCleanOffline_gui_x86.exe and
attk_ScanCleanOffline_gui_x64.exe offered on
<https:\/\/spnsupport.trendmicro.com\/<\/a>> are but STILL vulnerable:
they execute findstr.com\/findstr.exe\/findstr.bat\/findstr.cmd
and REG.com\/REG.exe\/REG.bat\/REG.cmd (see the environment variable
PATHEXT for the extensions) from the directory
\"TrendMicro AntiThreat Toolkit\\HC_ATTK\" where the batch script
batCollector.bat lives:<\/p>\n

— batCollector.bat —<\/p>\n

| @echo off
| setlocal disableDelayedExpansion
| set wd=%~dp0
| cd \/d %wd%

| for \/f \"tokens=*\" %%a in ('findstr BatCollector= ..\\..\\config.ini') do (

| REG EXPORT …
…<\/p>\n

findstr and REG are called without file extension and without path
(although BOTH are well-known), so CMD.exe runs
findstr.com\/findstr.exe\/findstr.bat\/findstr.cmd and
REG.com\/REG.exe\/REG.bat\/REG.cmd from its \"current working directory\" \"TrendMicro AntiThreat Toolkit\\HC_ATTK\"<\/p>\n

The missing path and extension are BEGINNER'S error #1.<\/p>\n

attk_ScanCleanOffline_gui_x86.exe and attk_ScanCleanOffline_gui_x64.exe
fail to restrict (at least write) access to this directory to user's of
the \"Administrators\" group: this is BEGINNER'S error #2.<\/p>\n

This UNPROTECTED directory is therefore writable by the unprivileged
user who can place a rogue findstr.com\/findstr.exe\/findstr.bat\/findstr.cmd
and REG.com\/REG.exe\/REG.bat\/REG.cmd there … and gains administrative privileges!<\/p>\n

GAME OVER!<\/p>\n

Additionally an unprivileged attacker can add arbitrary command lines to
the UNPROTECTED batch script batCollector.bat between its creation and
its execution, or replace it completely.<\/p>\n<\/blockquote>\n

Mit kurzen Worten: Trend Micro hat am urspr\u00fcnglichen Problem nichts ge\u00e4ndert und l\u00e4sst seine angreifbare 'Sicherheitssoftware' auf die Windows-Nutzer los.<\/p>\n

Seit dem Security-Advisory vom Oktober und dem Hinweis an Trend Micro ist ein Monat vergangen. Trend Micro hat gegen\u00fcber Stefan Kanthak den Eingang der Mail best\u00e4tigt, der Hersteller wei\u00df also um die Problematik. <\/p>\n

Hat Trend Micros nachgebessert?<\/h2>\n

Ich habe mir also heute die aktuelle Version des TM Anti-Thread Toolkit von der Herstellerseite besorgt und in einem Testbett ausgef\u00fchrt. Die Frage war: Hat der Hersteller die gemeldeten Probleme korrigiert?<\/p>\n