Антивирус сам стал вирусом. В Trend Micro Antivirus для macOS нашли опасную уязвимость, которая позволяет получить полный контроль над компьютером

Trend Micro уязвимость PT SWARM macOS привилегии Positive Technologies
Антивирус сам стал вирусом. В Trend Micro Antivirus для macOS нашли опасную уязвимость, которая позволяет получить полный контроль над компьютером
Trend Micro уязвимость PT SWARM macOS привилегии Positive Technologies

PT SWARM обнаружила дефект в компоненте, остающемся после удаления антивируса.

image

Эксперт PT SWARM Егор Филатов помог устранить опасную уязвимость в антивирусном ПО японского разработчика Trend Micro. Из-за дефекта безопасности под угрозой находились пользователи компьютеров Apple, включая тех, кто уже удалил антивирусную программу. В случае успешной эксплуатации злоумышленник мог получить доступ к их данным; при компрометации корпоративного устройства это могло привести к нарушению бизнес-процессов организации.

Уязвимость PT-2025-42831 (CVE-2025-59931, BDU:2025-04878) получила оценку 7 баллов по шкале CVSS 4.0, что соответствует высокому уровню угрозы. Недостаток затрагивал Trend Micro Antivirus версии 11.8.1283 и позволял повысить привилегии на устройствах под управлением macOS, в результате чего атакующий мог получить полный контроль над системой.

Производитель был уведомлён об угрозе в рамках политики ответственного раскрытия и выпустил обновления безопасности. Для устранения уязвимости рекомендуется обновить программу до версий 11.8.1400 или 11.9.36. Если обновление недоступно, эксперт Positive Technologies советует найти исполняемый файл службы, работающей в фоне, в каталоге \Library\LaunchDaemons\ и переместить его в \Library\PrivilegedHelperTools\. Если уязвимая версия программы была удалена ранее, необходимо удалить оставшийся файл запуска.

Решения Trend Micro используются более чем в 500 000 компаниях по всему миру. Представительства вендора расположены в США, Канаде, Японии, Азиатско-Тихоокеанском регионе, Латинской Америке, Европе, на Ближнем Востоке и в Африке. По данным IDC, в 2022 году вендор занимал примерно третье место среди крупнейших игроков рынка защиты конечных устройств, с долей около 8 % мирового рынка.

Эксперт пояснил, что Trend Micro Antivirus создаёт на компьютере пользователя специальный компонент с повышенными привилегиями, необходимый для сканирования системных файлов и блокировки вредоносных программ. После удаления уязвимой версии антивируса этот компонент оставался в папке, доступной любому пользователю. Злоумышленнику было бы достаточно внедрить в систему вредоносное приложение, замаскированное под обычное ПО, чтобы воспользоваться оставшимся компонентом и получить права суперпользователя.

Завладев повышенными привилегиями, злоумышленник гипотетически смог бы контролировать все действия на компьютере жертвы, читать и редактировать ценную информацию. Права суперпользователя могли бы позволить ему похитить пароли и другие конфиденциальные данные, а также запустить шифровальщик или получить постоянный доступ к устройству. Если бы компьютер находился в корпоративной сети, атакующий смог бы закрепиться в ней, чтобы похитить данные, содержащие коммерческую тайну, или нарушить бизнес-процессы организации.