Компания Trend Micro выпустила важные обновления безопасности для локальных версий платформы Apex Central, работающих под управлением операционной системы Windows. Данные исправления направлены на устранение ряда уязвимостей, обнаруженных исследователями из компании Tenable еще в августе 2025 года. Наибольшую угрозу среди выявленных проблем представляет критическая ошибка удаленного выполнения кода (RCE), которая позволяет злоумышленникам получить полный контроль над системой.
Главной уязвимостью в этом пакете обновлений является CVE-2025-69258, которой был присвоен критический рейтинг CVSS 9.8 из 10.0. Этот недостаток связан с функцией LoadLibraryEX и позволяет удаленному злоумышленнику без прохождения аутентификации принудительно заставить систему загрузить вредоносную динамически подключаемую библиотеку (DLL). Поскольку выполнение кода происходит в контексте учетной записи SYSTEM, успешная эксплуатация предоставляет атакующему максимальные привилегии на скомпрометированном устройстве.
Техническая реализация атаки нацелена на компонент MsgReceiver.exe, который по умолчанию прослушивает TCP-порт 20001. Для эксплуатации уязвимости CVE-2025-69258 злоумышленник отправляет специально сформированное сообщение на этот порт. Данные передаются в шестнадцатеричном формате «0x0a8d», что соответствует команде «SC_INSTALL_HANDLER_REQUEST». В результате двоичный файл загружает контролируемую хакером библиотеку DLL, инициируя выполнение произвольного кода.
Помимо критической уязвимости RCE, обновление устраняет две проблемы высокой степени опасности, способные вызвать отказ в обслуживании (DoS). Обеим уязвимостям, CVE-2025-69259 и CVE-2025-69260, присвоен рейтинг CVSS 7.5. Первая связана с отсутствием проверки нулевого возвращаемого значения (unchecked NULL return value), а вторая вызвана ошибкой чтения за границами памяти (out-of-bounds read). Эти недостатки также могут быть использованы удаленно и без аутентификации.
Эксплуатация данных DoS-уязвимостей также осуществляется через компонент MsgReceiver.exe. Для того чтобы вызвать сбой в работе системы, атакующий отправляет сообщение с шестнадцатеричным кодом «0x1b5b», содержащее команду «SC_CMD_CGI_LOG_REQUEST». Успешная атака приводит к недоступности сервиса на затронутых инсталляциях Apex Central, нарушая нормальное функционирование инфраструктуры безопасности.
Под угрозой находятся все локальные версии Trend Micro Apex Central с номером сборки (Build) ниже 7190. Для успешного проведения атаки злоумышленнику требуется наличие физического или удаленного доступа к уязвимой конечной точке. Это подчеркивает важность не только программных исправлений, но и контроля за сетевым периметром организации.
В качестве основной меры защиты администраторам необходимо незамедлительно установить обновление, повысив версию программного обеспечения до Build 7190 или выше. Кроме того, эксперты рекомендуют провести ревизию удаленного доступа к критически важным системам и удостовериться, что политики безопасности и защита периметра находятся в актуальном состоянии, чтобы минимизировать риски эксплуатации до полного развертывания патчей.
Изображение носит иллюстративный характер
Главной уязвимостью в этом пакете обновлений является CVE-2025-69258, которой был присвоен критический рейтинг CVSS 9.8 из 10.0. Этот недостаток связан с функцией LoadLibraryEX и позволяет удаленному злоумышленнику без прохождения аутентификации принудительно заставить систему загрузить вредоносную динамически подключаемую библиотеку (DLL). Поскольку выполнение кода происходит в контексте учетной записи SYSTEM, успешная эксплуатация предоставляет атакующему максимальные привилегии на скомпрометированном устройстве.
Техническая реализация атаки нацелена на компонент MsgReceiver.exe, который по умолчанию прослушивает TCP-порт 20001. Для эксплуатации уязвимости CVE-2025-69258 злоумышленник отправляет специально сформированное сообщение на этот порт. Данные передаются в шестнадцатеричном формате «0x0a8d», что соответствует команде «SC_INSTALL_HANDLER_REQUEST». В результате двоичный файл загружает контролируемую хакером библиотеку DLL, инициируя выполнение произвольного кода.
Помимо критической уязвимости RCE, обновление устраняет две проблемы высокой степени опасности, способные вызвать отказ в обслуживании (DoS). Обеим уязвимостям, CVE-2025-69259 и CVE-2025-69260, присвоен рейтинг CVSS 7.5. Первая связана с отсутствием проверки нулевого возвращаемого значения (unchecked NULL return value), а вторая вызвана ошибкой чтения за границами памяти (out-of-bounds read). Эти недостатки также могут быть использованы удаленно и без аутентификации.
Эксплуатация данных DoS-уязвимостей также осуществляется через компонент MsgReceiver.exe. Для того чтобы вызвать сбой в работе системы, атакующий отправляет сообщение с шестнадцатеричным кодом «0x1b5b», содержащее команду «SC_CMD_CGI_LOG_REQUEST». Успешная атака приводит к недоступности сервиса на затронутых инсталляциях Apex Central, нарушая нормальное функционирование инфраструктуры безопасности.
Под угрозой находятся все локальные версии Trend Micro Apex Central с номером сборки (Build) ниже 7190. Для успешного проведения атаки злоумышленнику требуется наличие физического или удаленного доступа к уязвимой конечной точке. Это подчеркивает важность не только программных исправлений, но и контроля за сетевым периметром организации.
В качестве основной меры защиты администраторам необходимо незамедлительно установить обновление, повысив версию программного обеспечения до Build 7190 или выше. Кроме того, эксперты рекомендуют провести ревизию удаленного доступа к критически важным системам и удостовериться, что политики безопасности и защита периметра находятся в актуальном состоянии, чтобы минимизировать риски эксплуатации до полного развертывания патчей.
