Discovery of DLL Hijack on Trend Micro AntiVirus+| CVE-2018-18333

Hello everyone.

Details about the vulnerability I discovered in 2018 and reported to Trend Micro.

SECURITY BULLETIN: Trend Micro Security (Consumer) 2019 DLL Hijacking Vulnerability

Vulnerability details: We have 2 scenarios for DLL Hijacking. The first is Trend Micro’s self-protection module is not active immediately after installation or startup, and service & agent applications load DLL without checking the security of loaded files. The second is Trend Micro Installer try load DLL from its current location without checking the security of DLL.

For security reasons, the technical details of PoCs will not be shared.

Applications that cause vulnerability :

  • coreServiceShell.exe
  • uiWatchDog.exe
  • uiSeAgnt.exe
  • uiWinMgr.exe
  • TTi_12.0_TAV_Full.exe

List of DLLs that are dynamically tested and succeeded:

  • secur32.dll
  • sensapi.dll
  • GPAPI.dll
  • UxTheme.dll
  • TextInputFramework.dll

 

PoC 1 : Attacker gain privilege with malicious DLL(TextInputFramework.dll)

PoC 2 : Attacker can exploit service app’s

 

@kaganisildak

🤘 Gais Security

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Google fotoğrafı

Google hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Connecting to %s