Trend Micro Apex One und Office Scan XG angreifbar

[English]Administratoren, die die Produkte Apex One, Apex One as a Service (SaaS) und Office Scan XG  von Trend Micro als Schutzlösung unter Windows und macOS einsetzen, müssen handeln. Die Produkte sind über vier Schwachstellen angreifbar, ein Update ist aber verfügbar.


Anzeige

Apex One und Apex One as a Service (SaaS) sind zwei Sicherheitslösungen von Trend Micro, die Endpunkte auf Malware-Befall untersucht und die betreffenden Geräte vor Mal- oder Ransomware schützen soll. Office Scan XG von Trend Micro soll ebenfalls Windows-Clients im Bürobereich vor Schadsoftware schützen.

Sicherheitshinweis für Trend Micro Apex One

Zum 1. September 2020 hat Trend Micro den Sicherheitshinweis SECURITY BULLETIN: August 2020 Security Bulletin for Trend Micro Apex One and Apex One as a Service veröffentlicht. Zum 28. August 2020 wurden Produktaktualisierungen veröffentlicht, die Schwachstellen in Apex One und Apex One as a Service (SaaS) schließen sollen. Dazu schreibt der Hersteller:

Trend Micro hat neue Patches für Trend Micro Apex One und Apex One as a Service (SaaS) veröffentlicht.  Diese Patches beheben mehrere Schwachstellen im Zusammenhang mit der Eskalation von Hardlink-Privilegien, der unzulässigen Offenlegung von Leseinformationen und unzulässiger Zugriffskontrolle.

Es werden die Schwachstellen CVE-2020-24556, CVE-2020-24557, CVE-2020-24558 und CVE-2020-24559 geschlossen. Hier ein Auszug mit Details zu den Schwachstellen:

CVE-2020-24556: Trend Micro Apex One Hard Link Privilege Escalation Vulnerability (Windows)
CVSSv3: 7.8: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
A vulnerability in Trend Micro Apex One on Microsoft Windows may allow an attacker to create a hard link to any file on the system, which then could be manipulated to gain a privilege escalation and code execution.
An attacker must first obtain the ability to execute low-privileged code on the target system in order to exploit this vulnerability.
Please note that version 1909 (OS Build 18363.719) of Microsoft Windows 10 mitigates hard links, but previous versions are affected.

CVE-2020-24557Trend Micro Apex One Improper Access Control Privilege Escalation
CVSSv3: 7.8: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
A vulnerability in Trend Micro Apex One on Microsoft Windows may allow an attacker to manipulate a particular product folder to disable the security temporarily, abuse a specific Windows function and attain privilege escalation.
An attacker must first obtain the ability to execute low-privileged code on the target system in order to exploit this vulnerability.
Please note that version 1909 (OS Build 18363.719) of Microsoft Windows 10 mitigates hard links, but previous versions are affected.

CVE-2020-24558Trend Micro Apex One Out-of-Bounds Read Information Disclosure
CVSSv3: 5.5: AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
A vulnerability in an Trend Micro Apex One dll may allow an attacker to manipulate it to cause an out-of-bounds read that crashes multiple processes in the product.
An attacker must first obtain the ability to execute low-privileged code on the target system in order to exploit this vulnerability

CVE-2020-24559Trend Micro Apex One Hard Link Privilege Escalation Vulnerability (macOS)
CVSSv3: 7.8: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
A vulnerability in Trend Micro Apex One on macOS may allow an attacker to manipulate a certain binary to load and run a script from a user-writable folder, which then would allow them to execute arbitrary code as root.
An attacker must first obtain the ability to execute low-privileged code on the target system in order to exploit this vulnerability.
Please note that the updated macOS client for Apex One (on-premise) is available via Trend Micro's Active

Weitere Details und der Download des Updates ist über das Security Advisory möglich. (via)

Trend Micro OfficeScan XG

Auch in Trend Micro OfficeScan XG gibt es Schwachstellen, die der Hersteller im Sicherheitshinweis SECURITY BULLETIN: Trend Micro OfficeScan XG Hard Link Privilege Escalation Vulnerability vom 3. September 2020 offen legt. Trend Micro hat zum 28. August 2020 ebenfalls einen neuen Patch XG SP1 Patch 3 b5684 für Trend Micro OfficeScan XG SP1 für Windows veröffentlicht. Dieser Patch behebt die Schwachstelle CVE-2020-24556 (Eskalation von Hardlink-Privilegien). Es empfiehlt sich vor einiger Installation aber einen Blick in die Readme-Datei zu werfen und die known issues zu studieren.

Die Schwachstellen werden als hoch bewertet, wobei die Ausnutzung von Hardlink-Privilegien Escalation ab Windows 10 Version 1909 betriebssystemseitig durch einen Patch gestoppt wurde. Weitere Details sind den Sicherheitshinweisen des Herstellers zu entnehmen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter macOS X, Sicherheit, Software, Update, Virenschutz, Windows abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

16 Antworten zu Trend Micro Apex One und Office Scan XG angreifbar

  1. Sebastian sagt:

    Hallo,
    wollte den Patch bei unserer Apex One (on premise) installation installieren, es lief auch alles ohne Probleme durch aber in der Konsole und im Eventlog bei den Clients und Servern erhalte ich diesen Eintrag:

    Unable to update. The programm version contains known vulnerabilities. Update aborted.

    Und das im Minutentakt …
    Den Agent hat es aber trotzdem auf die neue Version hoch gezogen.

    Es half leider nur ein Rollback auf die vorgehende Version.

    TrendMicro Support erreichen ist ein albtraum – da kommt man nicht weit.

    Kennt das Problem wer?

    Im Downloadcenter ist nur ein Release vom 2020-07-27 drin … https://downloadcenter.trendmicro.com/index.php?regs=de&prodid=1745

    Schöne Grüße

    Sebastian

    • egal sagt:

      Hallo,

      ohne weitere Informationen zu dem Event wird die vermutlich keiner weiterhelfen können. Die Version unter dem Link ist aber die Korrekte, die auch im Text genannt wird. Vielleicht ist aber zusätzlich die Scan Engine oder ein anderes Modul veraltet was möglicherweise auf ein Problem während dem Updatevorgang hinweist. Die Scan Engine musste man unter den alten Versionen (<=12/XG) meist manuell installieren was ein ganz übles rumgefummele ist.

      Hat TM Personal angebaut? Den Support habe ich nämlich noch als relativ anständig und angemessen schnell in Erinnerung zumindest wenn man brav alle Informationen und, ganz wichtig, immer die Logs mitschickt. Ich hoffe, du verwendet das Ticketsystem und versuchst nicht dort anzurufen o.ä. =)

      Kleiner Tipp noch: Immer das englische Downloadportal verwenden (Aufpassen vor Redirekts. Am besten englischen Browser verwenden!). Das ist hin und wieder aktueller als das deutsche und es gibt, wenn ich mich recht erinnere, auch Patches, die es nicht nach Deutschland schaffen.

      • Sebastian sagt:

        Danke für deine Hinweise.

        Support war leider nur telefonisch, da mir bei uns keiner die Daten fürs Onlineportal geben kann.
        Bzw. muss mal schauen dass ich das irgendwie auftreibe.

        Werde nächste Woche nochmal einen Versuch wagen – evtl. war einfach irgendwas nicht korrekt.

        Schönes Wochenende

        Sebastian

        • egal sagt:

          Extra Daten für das Online Portal brauchst du da normalerweise nicht.

          Ist bei mir zwar schon einige Zeit her aber ich meine du kannst dort ganz einfach einen Account anlegen und dann wird entweder über deine Emailadresse deine Firmenzugehörigkeit ermittelt oder du musst einen Lizenzschlüssel angeben. Je nachdem wird dann dein Anspruch auf Support davon abgeleitet.

          Schau mal hier: https://success.trendmicro.com/sign-in

          Etwas runterscrollen und dann auf "Create MySupport Account" klicken.

          Den Lizenzschlüssel kannst du auch einfach aus dem Admin Bereich des TM Webservers rauskopieren.

          Auch ein schönes Wochenende =)

          • Sebastian sagt:

            Hi,

            nach ewigen hin und her hab ichs nun endlich geschafft ein Ticket zu eröffnen …

            Danke für die hilfe

            Schauen wir mal, was TrendMicro dazu nun sagt.

            Schöne Grüße

  2. Sebastian sagt:

    Hallo nochmal,

    wo ist mein Kommentar hin? :(

    Review oder gelöscht?
    Schade – wäre evtl. interessant gewesen wg. der Fehlermeldung die beim letzten Release aufgetaucht ist.

    "Unable to udpate. This program version contains known vulnerabilities. Update aborted.

    Sowohl im Eventlog als im Log von TrendMicro

    Schöne Grüße

    Sebastian

  3. spawny81 sagt:

    @Sebastian:

    Wir haben 3 Apex One onPrem auf die aktuelle Version gezogen. Bei keinem kann ich das von dir beschriebene Problem beobachten.
    Bisher alles gut und die Clients aktualisieren sich…

    Gruß

  4. Veit sagt:

    Hallo, ich habe unseren Apex One Server schon am 05.08 gepatcht.
    Alles ohne Probleme. Patch war "apex_one_2019_win_en_patch3_b8378"
    Grüße

  5. Sebastian sagt:

    Kurzer Zwischenstand.

    Habe nun mit dem TrendMicro Support kontakt gehabt.

    Wir haben nochmal auf die neue Version geupdated.
    Fehler wieder der gleiche im Serverlog und Windows Event Log.

    Aber die Clients ziehen alle Updates ganz normal (z.B. Smart Scan Agent Pattern etc.)
    und in der Webkonsole stehen auch keine veralteten Clients drin – alles aktuell.

    Ein EICAR Testfile wurde auch anstandslos erkannt und verschoben.

    Dem support habe ich auf Wunsch so ein Debug-Log von einem Client und dem Server zukommen lassen – mal sehen was die schreiben.

    Es ist jedenfalls sehr kurios.

  6. Frank Seidel sagt:

    Hallo,
    gibt es hier ein Ergebnis?
    Wir haben das selbe Problem.
    Danke

  7. Günther May sagt:

    Ich habe das gleiche Problem. TM Support hilft mir nicht wirklich weiter. Hat das jemand gelöst?

  8. Günther May sagt:

    Habe gerade den letzten Patch (apex_one_2019_win_de_patch4_b9120) eingespielt. Alles wieder okay.

  9. Alexander sagt:

    Den Tipp mit der Installation von apex_one_2019_win_de_patch4_b9120 hat mir der Support auch gegeben. Leider sind nur 50% der Warnmeldungen weg. Nun liegt der Fall erneut beim Support.

Schreibe einen Kommentar zu spawny81 Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.