ビデオトレンドマイクロの脅威対策ツールキットの欠陥がハッカーに悪用され、被害者の Windows コンピューター上でマルウェアが実行される可能性があります。
バグハンターの John "hyp3rlinx" Page 氏は、セキュリティツールにおける任意のコード実行の脆弱性である CVE-2019-9491 を発見したとされています。
つまり、Trendのソフトウェアは、ファイル名がcmd.exeまたはregedit.exeであれば、スキャン時にマルウェアを含むあらゆるソフトウェアを実行させられる可能性があるということです。本当に、です。
「マルウェア作成者が『cmd.exe』や『regedit.exe』といった脆弱な命名規則を使用した場合、トレンドマイクロの脅威対策ツールキット(ATTK)は任意の.EXEファイルを読み込み、実行する」とhyp3rlinxは土曜日に説明した。
「そして、エンドユーザーがスキャンを開始すると、マルウェアが ATTK の近くに配置される可能性があります。」
デウス・エクス・ハッキナ:教皇のClick to Pray eRosaryアプリを破壊したデータ漏洩の悪魔を発見するのにたった10分しかかからなかった
続きを読む
つまり、トレンドマイクロのウイルス対策ソフトがウイルスを実行させられる可能性があるということです。これは…まずいですね。ダウンロードやメールなどを通じて、誰かのPCにcmd.exeやregedit.exeとしてファイルを保存し、その人がATTKを実行している場合、悪意のあるコードをそのPCで実行できてしまうのです。
「ATTK は検証済みの発行者によって署名されているため、信頼できるとみなされ、マルウェアがインターネットからダウンロードされた場合、MOTW のセキュリティ警告は回避されます。また、脅威対策ツールキットが実行されるたびに攻撃者のマルウェアも実行されるため、持続的なメカニズムになる可能性もあります」と欠陥発見者は付け加えた。
言うまでもなく、リモートコード実行の脆弱性はセキュリティツールにとって好ましいものではありません。マシンを保護したいソフトウェアが、マルウェアを実行させられてしまう可能性があります。信じられないですか?攻撃の実態を捉えた概念実証ビデオをご覧ください。
YouTubeビデオ
このバグは秘密ではありません。hyp3rlinxによると、Trendは9月9日にこの脆弱性について警告を受け、同月25日にバグを確認しました。
The Register はトレンドマイクロにこの報告についてのコメントとパッチがリリースされたかどうかの確認を求めたが、記事の公開時点ではまだ返答がない。®
追加更新
トレンドマイクロのソフトウェアは金曜日にパッチが適用されました。バージョン1.62.0.1223以降を実行していることを確認してください。
