CVE-2021-36742

Суть уязвимости

Уязвимость (CWE-20) в компонентах управления агентами позволяет локальному злоумышленнику с низкими привилегиями выполнить произвольный код с повышенными правами (SYSTEM/LOCAL SYSTEM) путем отправки специально сформированных данных в именованный канал (named pipe).

Как исправить

Установите последнюю версию продукта, содержащую исправление. Конкретные патчи зависят от вашего продукта и версии:

• Trend Micro Apex One (On-Premises):

  • Установите Patch 4 (Build 6114) или новее.
  • Для версий 2019 (Build 6114 и ниже) обновитесь до версии с исправлением через консоль управления.

• Trend Micro Apex One as a Service:

  • Обновление применяется автоматически. Убедитесь, что ваша служба использует последнюю версию агента. Проверьте версию агента на конечной точке.

• Trend Micro Worry-Free Business Security Services:

  • Обновление применяется автоматически. Убедитесь, что ваша служба использует последнюю версию агента.

Проверка версии агента (Windows):

# Проверьте версию установленного агента в Панели управления -> Программы и компоненты.
# Или выполните в PowerShell:
Get-WmiObject Win32_Product | Where-Object {$_.Name -like "*Trend Micro*"} | Select-Object Name, Version

Временное решение

Если немедленное обновление невозможно, примените следующие ограничения:

1. Ограничение доступа к уязвимому компоненту: Используйте брандмауэр хоста (Windows Firewall) или групповые политики (GPO), чтобы заблокировать все входящие соединения к именованным каналам агента Trend Micro (например, \\.\pipe\TmCCSF_*) с любых IP-адресов, кроме доверенных серверов управления (Security Server/Console).
2. Минимизация привилегий: Убедитесь, что учетные записи пользователей в системе не имеют избыточных привилегий (не входят в группы локальных администраторов), чтобы снизить риск наличия локального злоумышленника.
3. Мониторинг: Настройте SIEM или систему мониторинга процессов на конечных точках на создание нестандартных процессов дочерними от служб Trend Micro (например, TmListen.exe, TmCCSF.exe).