Hackers habrían explotado dos zero-days de Trend Micro

Los hackers intentaron explotar dos zero-days en productos AV de Trend Micro

Mencionó la compañía en una alerta de seguridad esta semana

Acorde con la alerta, los dos zero-days impactaron en los productos empresariales de seguridad Apex One y OfficeScan XG.

Cabe resaltar que Trend Micro no ha dado detalles acerca de los ataques.

Estos dos zero-days se marcan como el segundo y tercer bug de antivirus de Trend Micro en lo que va del último año

En el verano del 2019, el estado chino patrocinó a Hackers para utilizar un zero-day (CVE-2019-18187) en el producto OfficeScan de Trend Micro, en el ataque a la firma electrónica contra Mitsubishi Electric.

No está claro si los dos zero-days descubiertos esta semana son relacionados al zero-day del año pasado o si fueron explotados por el mismo grupo de Hackers (conocidos como Tick).

Detalles de los Zero-Day

  1. CVE-2020-8467: CVSS 9.1 (Crítico) – En un componente de una herramienta de mitigación de Apex One y OfficeScan contenía esta vulnerabilidad que permitía a los atacantes a ejecutar código arbitrario remotamente en instalaciones afectadas (RCE). Cada intento de ataque requería autenticación de usuario.
  2. CVE-2020-8468: CVSS 8.0 (Alta) – Los agentes de OfficeScan y Apex One son afectados por una vulnerabilidad de escape de validación de contenido lo cual permitiría a un atacante manipular ciertos contenidos en el agente de cliente. Cada intento de ataque requería autenticación de usuario.

Lo único que podemos deducir de los detalles anteriores es que los zero-days requerían que los piratas informáticos tuvieran credenciales válidas para las estaciones de trabajo de una víctima, lo que significa que probablemente se implementaran en un escenario posterior al compromiso después de que los piratas informáticos ya se habían infiltrado en la red interna de una empresa.

Los dos zero-day probablemente se usaron para deshabilitar los productos de seguridad o elevar los privilegios de los atacantes en máquinas que ejecutan los dos productos antivirus de Trend Micro.

Otros tres principales problemas

Sin embargo, a pesar de ser explotados en ataques en vivo, los dos días cero no fueron los peores errores detallados en el reciente boletín de seguridad de Trend Micro.

La compañía también advirtió sobre la presencia de otras tres vulnerabilidades, todas las cuales recibieron una calificación de gravedad de 10 sobre 10 en la escala de vulnerabilidades CVSSv3.

De acuerdo con esta calificación, estas vulnerabilidades se pueden explotar de forma remota a través de Internet, no requieren autenticación y permiten un control total sobre el antivirus (e inherentemente el sistema operativo subyacente). Según Trend Micro, los tres problemas que también necesitan tanta atención como los dos días cero son:

  1. CVE-2020-8470: CVSS 10 (Crítico) – Los servidores de Apex One y OfficeScan contenían un servicio vulnerable en un archivo DDL, que permitía a los atacantes remotos borrar cualquier archivo en el servidor con privilegios de SYSTEM. Para explotar esta vulnerabilidad no se requiere de autenticación.
  2. CVE-2020-8598: CVSS 10 (Crítico) – Los servidores de Apex One y OfficeScan contenían un servicio vulnerable en un archivo DDL, que permitía a los atacantes remotos ejecutar código arbitrario con privilegios de SYSTEM. Para explotar esta vulnerabilidad no se requiere de autenticación.
  3. CVE-2020-8599: CVSS 10 (Crítico) – Los servidores de Apex One y OfficeScan contenían un archivo EXE que permitía a los atacantes remotos data arbitraria en una ruta arbitraria y bypassear el ROOT login. Para explotar esta vulnerabilidad no se requiere de autenticación.

Trend Micro acreditó a sus propios investigadores por descubrir los dos días cero y las otras tres vulnerabilidades.

La compañía comenzó a prestar más atención a los errores en sus productos después de que los hackers chinos explotaron su antivirus en el hack de Mitsubishi Electric el año pasado.

Fuente: zdnet.com

Comments are closed.