Bộ công cụ chống mối đe dọa (Anti-Threat Toolkit - ATTK) của Trend Micro là bộ công cụ chuyên dụng được thiết kế để chống lại sự lây nhiễm của các phần mềm độc hại. Tuy nhiên, giống như bất kỳ phần mềm chống mã độc khác, công cụ này vẫn có thể chứa lỗ hổng bảo mật. Gần đây, nhà nghiên cứu John Page với biệt danh trực tuyến hyp3rlinx đã phát hiện được một lỗ hổng bảo mật tồn tại trong công cụ Trend Micro ATTK, cho phép tin tặc thực thi mã độc từ xa.

Nhà nghiên cứu John Page cho biết, lỗ hổng này có thể cho phép tin tặc thực thi mã từ xa, được định danh CVE-2019-9491. ATTK của Trend Micro được quyền tải và thực thi tùy ý các tệp .EXE. Như vậy, nếu tin tặc sử dụng quy ước đặt tên cho phần mềm độc hại theo cách dễ bị tấn công, như đặt trùng tên với trình thông dịch của hệ điều hành như “cmd.exe” hoặc “regedit.exe”, thì phần mềm độc hại này sẽ được thực thi khi người dùng cuối ATTK khởi chạy thao tác quét.

Các phiên bản ATTK bị ảnh hưởng có thể cho phép tin tặc đặt các tệp phần mềm độc hại trong cùng một thư mục, từ đó có khả năng dẫn đến việc thực thi mã tùy ý từ xa khi sử dụng ATTK. Vì ATTK được ký xác thực bởi một nhà phát triển hợp lệ, do đó mọi hoạt động có liên quan tới công cụ này đều được cho là đáng tin cậy. Như vậy, mọi cảnh báo bảo mật đều bị bỏ qua khi ATTK tải phần mềm độc hại từ Internet.

Sau khi phát hiện ra lỗ hổng vào tháng 9/2019, nhà nghiên cứu đã báo cáo thông tin chi tiết cho Trend Micro. Hãng đã xác nhận sự tồn tại của lỗ hổng trong sản phẩm của mình chỉ vài ngày sau đó. Lỗ hổng ảnh hưởng đến các phiên bản 1.62.0.1218 trở xuống của ATTK Trend Micro dành cho Windows. Ngày 18/10/2019, Trend Micro đã phát hành phiên bản ATTK 1.62.0.1223 vá lỗi này nhằm ngăn chặn mọi hành vi khai thác lỗ hổng có thể xảy ra.

Việc khai thác các loại lỗ hổng này thường yêu cầu tin tặc có quyền truy cập (vật lý hoặc từ xa) vào một máy dễ bị tấn công. Mặc dù việc khai thác lỗ hổng là khó khăn vì cần yêu cầu một số điều kiện cụ thể, nhưng Trend Micro khuyến nghị người dùng cần cập nhật công cụ lên phiên bản mới nhất càng sớm càng tốt. Ngoài việc cập nhật bản vá và áp dụng các giải pháp bảo mật khác, người dùng cũng nên thận trọng và cân nhắc về việc cho phép truy cập từ xa vào các hệ thống quan trọng.