“SYSTEM Comprometido: Una falla en Apex Central de Trend Micro expone una puerta trasera de alto riesgo”

En el interminable juego del gato y el ratón de la ciberdefensa, ni siquiera los nombres más grandes están a salvo. Trend Micro, un peso pesado en seguridad empresarial, está en el centro de la tormenta después de que una vulnerabilidad recientemente divulgada en su producto Apex Central on-premise para Windows haya recibido una asombrosa puntuación CVSS de 9.8 - apenas por debajo del máximo. La falla, si no se corrige, podría permitir a los atacantes tomar el control total de sistemas críticos, ejecutando código como SYSTEM - el usuario más poderoso en Windows.

¿Cómo sucedió esto? El núcleo de la crisis es una vulnerabilidad en la forma en que el proceso MsgReceiver.exe de Apex Central maneja ciertos mensajes. En términos técnicos, un atacante puede enviar un mensaje especialmente diseñado - “0x0a8d” o “SC_INSTALL_HANDLER_REQUEST” - al componente, engañándolo para que cargue una DLL maliciosa. Como MsgReceiver.exe se ejecuta con privilegios SYSTEM, cualquier código que lance hereda los permisos más altos posibles, convirtiendo esto en un escenario de pesadilla para los defensores.

El exploit, identificado como CVE-2025-69258, no requiere que el atacante esté autenticado, pero sí necesita acceso físico o remoto a la red. Una vez dentro, el atacante podría tomar el control total del endpoint, instalar malware, exfiltrar datos o profundizar aún más en el entorno de la organización. Las otras dos fallas, CVE-2025-69259 y CVE-2025-69260, podrían usarse para hacer que el servicio falle, provocando una denegación de servicio y potencialmente allanando el camino para ataques o interrupciones adicionales.

Los investigadores de seguridad de Tenable, quienes reportaron las fallas, demostraron cómo simples mensajes enviados al puerto predeterminado 20001 podían activar las vulnerabilidades. En el caso del error crítico, una DLL maliciosa se carga en un ejecutable clave, abriendo la puerta a una toma de control total. Los otros dos errores, con puntuaciones CVSS de 7.5, involucran un manejo inadecuado de valores de retorno NULL y lecturas fuera de límites - errores clásicos de programación con consecuencias graves.

Trend Micro ha respondido publicando parches para todas las versiones afectadas por debajo del Build 7190. La compañía insta a sus clientes a parchear de inmediato y revisar sus políticas de acceso remoto. El incidente subraya una realidad inquietante: incluso las soluciones de seguridad pueden convertirse en vectores de ataque si se baja la guardia o se retrasa la aplicación de parches.

Mientras las organizaciones se apresuran a actualizar sus defensas, este episodio sirve como un recordatorio contundente: la confianza en el software de seguridad debe ganarse a diario, y la complacencia es un lujo que nadie puede permitirse. En el mundo del cibercrimen, el protector de hoy puede convertirse en el cómplice involuntario de mañana.

WIKICROOK

• Ejecución Remota de Código (RCE): La ejecución remota de código (RCE) ocurre cuando un atacante ejecuta su propio código en el sistema de la víctima, lo que a menudo lleva al control total o compromiso de ese sistema.
• DLL (Dynamic Link Library): Una DLL es un archivo de Windows que contiene código compartido utilizado por programas. Las DLL maliciosas pueden ser explotadas por hackers para tomar el control de un sistema.
• CVSS (Common Vulnerability Scoring System): CVSS es un sistema estándar para calificar la gravedad de vulnerabilidades de seguridad, asignando puntuaciones de 0 (bajo) a 10 (crítico) para guiar las prioridades de respuesta.
• Privilegios SYSTEM: Los privilegios SYSTEM son los derechos de acceso más altos en un sistema Windows, permitiendo control total sobre archivos, configuraciones y operaciones.
• Denegación: En ciberseguridad, la denegación significa hacer que sistemas o servicios no estén disponibles para los usuarios, a menudo mediante ataques como Denegación de Servicio (DoS) que los saturan con tráfico.