Hackers habrían explotado dos zero-days de Trend Micro
Acorde con la alerta, los dos zero-days impactaron en los productos empresariales de seguridad Apex One y OfficeScan XG.
Cabe resaltar que Trend Micro no ha dado detalles acerca de los ataques.
Estos dos zero-days se marcan como el segundo y tercer bug de antivirus de Trend Micro en lo que va del último año
En el verano del 2019, el estado chino patrocinó a Hackers para
utilizar un zero-day (CVE-2019-18187) en el producto OfficeScan de Trend
Micro, en el ataque a la firma electrónica contra Mitsubishi Electric.
No está claro si los dos zero-days descubiertos esta semana son
relacionados al zero-day del año pasado o si fueron explotados por el
mismo grupo de Hackers (conocidos como Tick).
Detalles de los Zero-Day
- CVE-2020-8467: CVSS 9.1 (Crítico) – En un componente de una herramienta de mitigación de Apex One y OfficeScan contenía esta vulnerabilidad que permitía a los atacantes a ejecutar código arbitrario remotamente en instalaciones afectadas (RCE). Cada intento de ataque requería autenticación de usuario.
- CVE-2020-8468: CVSS 8.0 (Alta) – Los agentes de OfficeScan y Apex One son afectados por una vulnerabilidad de escape de validación de contenido lo cual permitiría a un atacante manipular ciertos contenidos en el agente de cliente. Cada intento de ataque requería autenticación de usuario.
Lo único que podemos deducir de los detalles anteriores es que los
zero-days requerían que los piratas informáticos tuvieran credenciales
válidas para las estaciones de trabajo de una víctima, lo que significa
que probablemente se implementaran en un escenario posterior al
compromiso después de que los piratas informáticos ya se habían
infiltrado en la red interna de una empresa.
Los dos zero-day probablemente se usaron para deshabilitar los
productos de seguridad o elevar los privilegios de los atacantes en
máquinas que ejecutan los dos productos antivirus de Trend Micro.
Otros tres principales problemas
Sin embargo, a pesar de ser explotados en ataques en vivo, los dos
días cero no fueron los peores errores detallados en el reciente boletín
de seguridad de Trend Micro.
La compañía también advirtió sobre la presencia de otras tres
vulnerabilidades, todas las cuales recibieron una calificación de
gravedad de 10 sobre 10 en la escala de vulnerabilidades CVSSv3.
De acuerdo con esta calificación, estas vulnerabilidades se pueden
explotar de forma remota a través de Internet, no requieren
autenticación y permiten un control total sobre el antivirus (e
inherentemente el sistema operativo subyacente). Según Trend Micro, los
tres problemas que también necesitan tanta atención como los dos días
cero son:
- CVE-2020-8470: CVSS 10 (Crítico) – Los servidores de Apex One y OfficeScan contenían un servicio vulnerable en un archivo DDL, que permitía a los atacantes remotos borrar cualquier archivo en el servidor con privilegios de SYSTEM. Para explotar esta vulnerabilidad no se requiere de autenticación.
- CVE-2020-8598: CVSS 10 (Crítico) – Los servidores de Apex One y OfficeScan contenían un servicio vulnerable en un archivo DDL, que permitía a los atacantes remotos ejecutar código arbitrario con privilegios de SYSTEM. Para explotar esta vulnerabilidad no se requiere de autenticación.
- CVE-2020-8599: CVSS 10 (Crítico) – Los servidores de Apex One y OfficeScan contenían un archivo EXE que permitía a los atacantes remotos data arbitraria en una ruta arbitraria y bypassear el ROOT login. Para explotar esta vulnerabilidad no se requiere de autenticación.
Trend Micro acreditó a sus propios investigadores por descubrir los dos días cero y las otras tres vulnerabilidades.
La compañía comenzó a prestar más atención a los errores en sus
productos después de que los hackers chinos explotaron su antivirus en
el hack de Mitsubishi Electric el año pasado.
Fuente: zdnet.com
0 comentarios:
Publicar un comentario