Een bug in de Anti-Threat Toolkit (ATTK) van Trend Micro zorgt ervoor dat de antivirussoftware kan worden misleid om zelf malware uit te voeren, wanneer het bestand de naam cmd.exe of regedit.exe heeft.
Bug-hunter John ‘hyp3rlinx’ Page ontdekte de bug in de beveiligingstool, aldus The Register.“ATTK laadt en voert willekeurige .exe-bestanden uit als een malware-auteur de kwetsbare naamconventie van ‘cmd.exe’ of ‘regedit.exe’ gebruikt”, aldus Page.
Dat betekent dat software die een computer juist wil beschermen, misleid kan worden tot het uitvoeren van malware. Op het moment dat je bijvoorbeeld via een download of e-mail een bestand op een computer opslaat als cmd.exe of regedit.exe, en deze computer heeft ATTK draaien, kun je mogelijk schadelijke code op dat systeem uitvoeren.
“Omdat ATTK is ondertekend door een geverifieerde, betrouwbare uitgever, worden álle MOTW-beveiligingswaarschuwingen omzeild, als de malware op internet wordt gedownload”, aldus Page.
Persistentiemechanisme
Bovendien kan het ook een persistentiemechanisme worden. Iedere keer dat ATTK wordt uitgevoerd, kan ook de malware van een aanvaller worden uitgevoerd, constateert de ‘bug-hunter’.
Hieronder is een proof-of-concept-video te zien van de aanval in actie:
Patch
Page laat weten Trend Micro op 9 september te hebben gewaarschuwd voor de fout. De securityleverancier bevestigde op 25 september het bestaan van de bug. Inmiddels is de betreffende software gepatcht en het is dan ook raadzaam ervoor te zorgen dat enkel versie 1.62.0.1223 of hoger van de Trend Micro Anti-Threat Toolkit (ATTK) wordt gebruikt.