CVE-2020-24557
Trend Micro Apex One, OfficeScan, and Worry-Free Business Security
2021-11-03
Trend Micro Apex One, OfficeScan, and Worry-Free Business Security on Microsoft Windows contain an improper access control vulnerability that may allow an attacker to manipulate a particular product folder to disable the security temporarily, abuse a specific Windows function, and attain privilege escalation.
Технический анализ и план устранения
Суть уязвимости
Уязвимость (CVE-2020-24557) в продуктах Trend Micro (Apex One, OfficeScan, Worry-Free Business Security) позволяет локальному злоумышленнику с низкими привилегиями:
1. Манипулировать определенной папкой продукта (например, путем создания символьных ссылок), чтобы временно отключить защиту.
2. Злоупотребить функцией Windows MoveFileEx для перемещения или замены критически важных исполняемых файлов.
3. Достичь повышения привилегий до уровня SYSTEM или администратора, выполнив свой код в контексте высокой целостности.
Как исправить
Установите официальный патч от Trend Micro, соответствующий вашей версии продукта.
Для Apex One (ранее OfficeScan XG): * Установите Patch 1 (Build 24557.1001) или более поздний. * Скачайте и установите через консоль управления Apex One.
Для OfficeScan (XG): * Установите Patch 4980 или более поздний. * Скачайте и установите через консоль управления OfficeScan.
Для Worry-Free Business Security Services: * Обновление выполняется автоматически. Убедитесь, что агенты имеют версию 10.0 SP1 или выше. Проверьте статус в административной консоли.
Общая проверка (Windows):
После установки патча убедитесь, что служба TmListen.exe (или аналогичная) работает от имени SYSTEM и права на папку установки (C:\Program Files\Trend Micro\ по умолчанию) строго ограничены.
Временное решение
Если немедленная установка патча невозможна, выполните следующие шаги:
-
Усильте контроль разрешений NTFS на корневой папке установки Trend Micro:
bash # Запустите PowerShell от имени Администратора # Установите наследуемые разрешения, запрещающие запись для групп "Users" и "Authenticated Users" $folderPath = "C:\Program Files\Trend Micro" $acl = Get-Acl $folderPath $rule = New-Object System.Security.AccessControl.FileSystemAccessRule("Authenticated Users","Write","ContainerInherit,ObjectInherit","None","Deny") $acl.AddAccessRule($rule) Set-Acl -Path $folderPath -AclObject $acl -
Активируйте контроль учетных записей (UAC) на максимальный уровень для всех пользователей через групповые политики (
gpedit.msc):Конфигурация компьютера -> Политики -> Параметры Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности- Политика: "Контроль учетных записей: поведение запроса на повышение прав для администраторов" -> установите "Запрос согласия на повышение прав".
- Политика: "Контроль учетных записей: все администраторы работают в режиме одобрения администратором" -> установите "Включен".
-
Ограничьте локальный доступ к серверам с установленным Trend Micro только для необходимых административных пользователей.