Apex One, OfficeScan, and Worry-Free Business Security

Die Schwachstelle betrifft die Windows-Versionen der Trend-Micro-Sicherheitsprodukte Apex One, OfficeScan und Worry-Free Business Security. Ursache ist eine unzureichende Zugriffskontrolle: Ein Angreifer kann einen bestimmten Produktordner manipulieren und dadurch den Schutz der Sicherheitssoftware vorübergehend ausschalten. In Kombination mit dem Missbrauch einer bestimmten Windows-Funktion lässt sich anschließend eine Rechteausweitung erreichen, sodass der Angreifer höhere Systemrechte erlangt. Voraussetzung für die Ausnutzung ist, dass der Angreifer bereits Code mit niedrigen Rechten auf dem Zielsystem ausführen kann – ein Fernzugriff allein genügt also nicht. Der eigentliche Hebel liegt in der Manipulation von Verknüpfungen im Dateisystem; aktuellere Windows-10-Versionen entschärfen den Angriff über sogenannte Hard Links, während ältere Stände weiterhin angreifbar sind. Da ausgerechnet die Schutzsoftware ausgehebelt wird, verliert das System genau jene Verteidigung, die Angriffe verhindern soll.