Hackers misbruiken zero-days in securitytools van Trend Micro

In een beveiligingswaarschuwing maakt Trend Micro bekend dat hackers pogingen deden om misbruik te maken van twee zero-days in zijn antivirusproducten. Afgelopen maandag bracht het bedrijf patches uit om de zero-days, en meteen ook drie vergelijkbare beveiligingsproblemen, aan te pakken. 

Volgens de waarschuwing gaat het om de Apex One- en OfficeScan XG- beveiligingsproducten van Trend Micro. Het bedrijf maakte geen verdere details bekend over de aanvallen. Met deze twee zero-days is het de tweede en derde keer in een jaar tijd dat fouten in Trend Micro-software zijn gebruikt door hackers. 

In de zomer van 2019 gebruikten hackers gesponsord door de Chinese overheid een zero-day in Trend Micro OfficeScan. Deze aanval was specifiek gericht op het Japanse elektronicabedrijf Mitsubishi Electric. Het is nog onbekend of dezelfde hackersgroep ook achter het misbruik van de nieuwe zero-days zit.

Specificaties van de zero-days

Volgens de beveiligingswaarschuwing van Trend Micro gaat het om de zero-days CVE-2020-8467 en CVE-2020-8468. De eerste zero-day (CVE-2020-8467) houdt in dat een onderdeel van de migratietool voor Trend Micro Apex One en OfficeScan een kwetsbaarheid bevat, waardoor hackers op afstand willekeurige code kunnen uitvoeren op aangetaste installaties.

De tweede zero-day (CVE-2020-8468) treft Trend Micro Apex One en OfficeScan door een ‘content validation’-kwetsbaarheid. Dit maakt het voor hackers mogelijk om verschillende delen van de installatie te manipuleren.

Voor beide zero-days geldt dat er gebruikersverificatie nodig is om een aanval uit te voeren. Hieruit kunnen we opmaken dat hackers de aanvallen waarschijnlijk pas uitvoerden na het infiltreren van het interne netwerk van een bedrijf. Naar alle waarschijnlijkheid gebruikten de hackers de twee zero-days om de beveiligingsproducten uit te schakelen of de aanvallers meer rechten te geven op de getroffen machines.

Andere beveiligingsfouten

Naast de twee zero-days waarvan hackers misbruik maakten, onthult Trend Micro in zijn beveiligingsmemo nog drie andere ernstige kwetsbaarheden. Deze drie bugs kregen allen de hoogste score van 10 op de CVSS-kwetsbaarheidsschaal. Deze score houdt in dat hackers van een afstand kunnen profiteren van de fouten, zonder dat er autorisatie nodig is. Kwaadwillenden kunnen zo volledige controle krijgen over de software en het onderliggende besturingssysteem. 

Het is niet de eerste keer dat er fouten zitten in securitytools van Trend Micro. Vorige zomer werd bekend dat de antivirus kon worden misleid om zelf malware te installeren. Nadat Chinese hackers vorig jaar misbruik maakten van een fout in het systeem, zijn de onderzoekers extra alert op mogelijke bugs. Daarom prijst Trend Micro zijn onderzoeksteam voor het snel ontdekken van de zero-days en andere fouten in de antivirustool.