Trend Micro corrige vulnerabilidades de Zero-day en sus productos

23 Marzo 2020
Crítico

Trend Micro ha revelado detalles sobre fallas de seguridad en diferentes productos. Estas vulnerabilidades existían principalmente en Trend Micro Apex One y OfficeScan XG, que también incluyen dos errores de día cero.

El primero de los días cero incluye una vulnerabilidad crítica (CVE-2020-8467) que podría permitir ataques de ejecución de código remoto. La falla existía en el componente de herramienta de migración de Apex One y OfficeScan. Sin embargo, un intento de ataque requerirá autenticación de usuario. 

El segundo día cero, CVE-2020-8468, es una vulnerabilidad de escape de validación de contenido que también requerirá autenticación del usuario. El error podría permitir que un adversario manipule ciertos componentes del cliente del agente.

Además, otras tres vulnerabilidades en Trend Micro Apex One y OfficeScan recibieron una calificación de gravedad crítica. Dos de estos incluyen CVE-2020-8470 y CVE-2020-8598 que existían debido a un archivo DLL de servicio vulnerable que otorgaba privilegios SYSTEM al atacante. La tercera vulnerabilidad, CVE-2020-8599, existía debido a un archivo EXE vulnerable en Trend Micro Apex One y el servidor de OfficeScan.

En su aviso, Trend Micro también confirmó la detección de explotación activa de las dos vulnerabilidades de día cero.

Se recomienda lo siguiente:

  • Instalar las actualizaciones disponibles por Trend Micro en página oficial.
  • Revisar y asegurar que los servidores del producto y las consolas de administración estén restringidos a redes confiables y / o usuarios, según corresponda.

El listado de las CVE se adjunta a continuación:


Tags: #trendmicro #diacero #vulnerabilidad #parche #apexone


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.