Trend Micro udostępnił aktualizacje bezpieczeństwa usuwające kilka podatności w wersjach on-premise oprogramowania Apex Central dla Windows, w tym krytyczną lukę umożliwiającą wykonanie dowolnego kodu. Aktualizacje mają na celu zabezpieczenie instalacji lokalnych przed atakami, które — w skrajnych przypadkach — mogą doprowadzić do przejęcia uprawnień systemowych.
Najpoważniejsza z naprawionych wad występuje pod identyfikatorem CVE-2025-69258 i otrzymała ocenę CVSS na poziomie 9,8/10. Jest to luka w mechanizmie LoadLibraryEX, która pozwala nieuwierzytelnionemu, zdalnemu napastnikowi na załadowanie sterowanej przez siebie biblioteki DLL do jednego z kluczowych plików wykonywalnych aplikacji. Skutkiem takiego działania może być wykonanie złośliwego kodu z uprawnieniami konta SYSTEM, czyli z najwyższymi uprawnieniami w systemie Windows, co umożliwia m.in. modyfikację ustawień, instalowanie oprogramowania czy dostęp do danych.
Według raportu firmy Tenable, która zgłosiła wszystkie trzy błędy w sierpniu 2025 r., CVE-2025-69258 można wywołać przez wysłanie do procesu MsgReceiver.exe komunikatu o kodzie 0x0a8d (oznaczanego jako „SC_INSTALL_HANDLER_REQUEST”). Ten specjalnie spreparowany komunikat powoduje załadowanie biblioteki DLL kontrolowanej przez atakującego do procesu, co prowadzi do uruchomienia dostarczonego kodu z podwyższonymi uprawnieniami.
Trend Micro załatał również dwie inne podatności, obie ocenione na 7,5 w skali CVSS, które mogą doprowadzić do odmowy świadczenia usługi (DoS):
- CVE-2025-69259 — podatność związana z nieobsłużoną wartością NULL zwracaną przez komunikat, co może umożliwić zdalnemu, nieuwierzytelnionemu napastnikowi wywołanie stanu DoS na zaatakowanej instalacji;
- CVE-2025-69260 — błąd odczytu poza zakresem (out-of-bounds read) w obsłudze komunikatów, który również może zostać wykorzystany do wywołania DoS.
Obie mniejsze wady — podobnie jak wariant krytyczny — mogą być wyzwolone przez wysłanie specjalnie spreparowanego komunikatu o kodzie 0x1b5b (oznaczanego jako „SC_CMD_CGI_LOG_REQUEST”) do procesu MsgReceiver.exe. Proces ten nasłuchuje na domyślnym porcie TCP 20001, co oznacza, że atak polega na przesłaniu odpowiednio spreparowanych wiadomości sieciowych do tego punktu końcowego.
Lista dotkniętych instalacji obejmuje wersje Apex Central on-premise poniżej Build 7190. Trend Micro podkreśla, że skuteczna eksploatacja tych luk wymaga wcześniejszego dostępu napastnika do podatnego punktu końcowego — fizycznego lub zdalnego — co oznacza, że luka sama w sobie nie daje możliwości wejścia do sieci, lecz umożliwia eskalację uprawnień i wykonanie złośliwych działań, jeśli napastnik już uzyska dostęp.
Aby zminimalizować ryzyko, producent zaleca niezwłoczne zainstalowanie udostępnionych poprawek. Dodatkowo warto przejrzeć ustawienia zdalnego dostępu do krytycznych systemów oraz polityki bezpieczeństwa i zabezpieczenia strefy perymetrycznej, by ograniczyć możliwość dostępu do procesów nasłuchujących na wewnętrznych portach sieciowych.
