„`html
Zusammenfassung
Die Sicherheitslücke CVE-2025-71212 ist eine Symlink-Folge-Schwachstelle (Link Following Vulnerability) in der Scan-Engine von Trend Micro Apex One. Sie ermöglicht lokalen Angreifern eine Rechteerweiterung von niedrigen zu höheren Privilegien. Die Ausnutzung setzt voraus, dass der Angreifer bereits Code mit eingeschränkten Berechtigungen auf dem System ausführen kann.
Betroffene Systeme
Betroffen sind verschiedene Versionen von Trend Micro Apex One auf unterschiedlichen Plattformen. Eine präzise Versionsliste sollte in den offiziellen Trend Micro Security Advisories konsultiert werden. Die Schwachstelle betrifft sowohl Windows- als auch Linux-Installationen der Endpoint-Protection-Suite.
Technische Details
Der Scan-Engine-Prozess erstellt oder verarbeitet temporäre Dateien, ohne Symlink-Attacken ausreichend zu validieren. Ein lokaler Angreifer mit niedrigen Rechten kann symbolische Links in bekannten Verzeichnissen platzieren. Wenn die Scan-Engine später auf diese Links zugreift, werden Dateien mit erhöhten Privilegien manipuliert oder überschrieben. Dies führt zu einer Privilege-Escalation, da die Engine mit SYSTEM- oder Root-Rechten läuft.
Empfohlene Massnahmen
- Monitoring: Überwachen Sie Scan-Engine-Prozesse auf unerwartete Symlink-Aktivitäten und Dateizugriffe in Temp-Verzeichnissen
- Zugriffskontrolle: Beschränken Sie Benutzerrechte auf Systemverzeichnissen und Temp-Ordnern mit ACLs
- Patch-Awareness: Überprüfen Sie regelmäßig Trend Micro Security Updates auf verfügbare Patches
- Isolierung: Trennen Sie privilegierte Prozesse von Benutzerverzeichnissen
Bewertung
Mit einem CVSS-Score von 7.8 (High) erfordert diese Schwachstelle zeitnahe Aufmerksamkeit. Obwohl ein Patch aktuell nicht verfügbar ist, sollten Organisationen die Kontrollmassnahmen umgehend implementieren und auf offizielle Patches warten.
„`