Découvertes par la plateforme de gestion des vulnérabilités Tenable, les failles de sécurité dans l'outil de gestion Apex Central de Trend Micro ont été corrigées. Les bogues affectent toutes les versions sur site antérieures à la 7190 de ce logiciel servant à surveiller, signaler des piratages et des violations de sécurité. Concernant la faille la plus grave d’un score de 9,8, Trend Micro a déclaré dans un bulletin de sécurité « qu’une vulnérabilité LoadLibraryEX dans Apex Central pourrait permettre à un pirate distant non authentifié de charger une DLL contrôlée par le pirate en un exécutable clé, entraînant l'exécution du code fourni par le pirate dans le contexte SYSTEM sur les installations concernées ». Erik Avakian, consultant chez Info-Tech Research Group, a expliqué pourquoi c’est un problème. « En exploitant cette faille critique dans le traitement de certains types de messages réseau par un des services d'arrière-plan du serveur de gestion, un attaquant pourrait exécuter son propre code sans se connecter. Ce service acceptera un message provenant de n'importe qui sur le réseau, puis il pourra charger aveuglément une DLL Windows à l'aide d'une fonction Windows standard. Le problème, c’est que le logiciel ne valide pas correctement la provenance de cette DLL. »

M. Avakian explique que « quand cela se produit, le logiciel affecté exécute le code de l'attaquant, probablement au niveau de privilège le plus élevé ». Il poursuit : « Dans ces circonstances, l'attaquant peut donc diriger Apex Central vers une DLL qu'il contrôle, sur un réseau distant par exemple. Il pourrait alors s'infiltrer plus profondément dans l'environnement logiciel de l'entreprise. En bref, si ce serveur est exposé et n'est pas corrigé, il peut être pris en otage à distance. » Selon M. Avakian, ce qui rend cette attaque particulièrement insidieuse, c'est que les attaquants n'ont pas besoin de se connecter au serveur ni d'y copier des fichiers. « Ils peuvent simplement héberger une DLL malveillante à l’endroit où ils ont le contrôle et demander à Apex Central de la charger. En raison de cette faille, Apex Central se connecte et charge la DLL lui-même, récupérant et exécutant ainsi le code de l'attaquant sans vérifier qui en est à l'origine. » Le consultant d’Info-Tech Research ajoute que le contexte SYSTEM est important, car cela signifie que le service vulnérable fonctionne avec les privilèges les plus élevés, de sorte qu’un pirate pourrait mener toute une série d'activités, notamment modifier des fichiers, installer ou désactiver des logiciels, créer des comptes utilisateurs ou utiliser le serveur comme point de départ pour attaquer d'autres systèmes.

Une faille passée sous le radar

La vulnérabilité ne semble pas résulter de modifications récentes apportées au logiciel. M. Avakian a souligné que « dans les documents publiés, tout indique que cette faille existe peut-être depuis un certain temps. L'avis concerne toutes les versions antérieures à la version corrigée, et rien ne laisse penser qu'elle ait été introduite récemment. À première vue, il semble s'agir d'un problème de longue date qui n'a été découvert et résolu que récemment. » Ni Trend Micro ni Tenable n'ont répondu aux demandes de commentaires au moment de la publication.

Outre cette vulnérabilité critique, le bulletin de Trend Micro a également mis en évidence deux autres problèmes de gravité élevée, dont aucun ne nécessite d'authentification pour être exploité. Le premier est une vulnérabilité liée à la valeur de retour NULL non vérifiée dans Trend Micro Apex Central, qui pourrait permettre à un attaquant distant de créer une condition de déni de service sur les installations concernées. Le second est une vulnérabilité liée à la lecture hors limites dans Trend Micro Apex Central, qui pourrait aussi permettre à un attaquant distant de créer une condition de déni de service. Ces trois failles ont été corrigées dans la version 7190. L'avis de Trend Micro précise que pour exploiter des vulnérabilités de ce type, l'attaquant doit généralement avoir accès à une machine vulnérable. Cependant, l’entreprise conseille à ses clients de vérifier l'accès à distance aux systèmes critiques afin de s'assurer que les politiques et la sécurité périmétrique sont à jour. Elle leur recommande également de mettre à jour leurs systèmes dès que possible avec les dernières versions.