OfficeScan

Die Schwachstelle steckt im Endpunktschutz Trend Micro OfficeScan und ist ein klassischer Verzeichnisdurchquerungs-Fehler (Directory Traversal). Beim Entpacken einer ZIP-Datei prüft die Software die enthaltenen Pfadangaben nicht ausreichend. Dadurch kann ein Angreifer dafür sorgen, dass Dateien aus dem Archiv nicht nur in den vorgesehenen Ordner, sondern an frei wählbare Stellen auf dem OfficeScan-Server geschrieben werden. Über dieses gezielte Ablegen von Dateien außerhalb des erlaubten Verzeichnisses lässt sich letztlich Schadcode auf den Server bringen und ausführen (Remote Code Execution). Die so gestartete Codeausführung läuft im Kontext des Web-Dienstkontos; je nach eingesetzter Web-Plattform kann dieses eingeschränkte Rechte besitzen, was den unmittelbaren Handlungsspielraum des Angreifers begrenzt. Für den Angriff ist eine vorherige Anmeldung am System erforderlich. Betroffen ist der zentrale Verwaltungsserver der Lösung, über den die geschützten Endgeräte gesteuert werden.