Kritische Schwachstelle in Trend Micro Apex Central bedroht Windows-Server : Remote Code Execution mit Systemrechten: Ein Fehler knapp an Höchstbewertung zwingt Unternehmen zum sofortigen Patchen
Ein kritischer Fehler in lokalen Windows-Installationen von Apex Central erlaubt Angreifern potenziell die vollständige Systemübernahme. Der Hersteller hat Sicherheitsupdates veröffentlicht. Die Details zeigen, warum schnelles Handeln jetzt entscheidend ist.
Im Zentrum der aktuellen Sicherheitswarnung steht Trend Micro Apex Central in lokalen Windows-Umgebungen. Mehrere Schwachstellen ermöglichen nicht authentifizierten Angreifern schwerwiegende Angriffe. Besonders brisant ist eine Lücke zur Remote-Code-Ausführung, die mit 9,8 von maximal zehn Punkten nach dem Common Vulnerability Scoring System (CVSS) bewertet wurde.
Remote Code Execution mit Systemrechten
Die kritischste Schwachstelle wird unter der Kennung CVE-2025-69258 geführt. Sie betrifft die unsichere Nutzung von LoadLibraryEX. Ein Angreifer kann aus der Ferne eine manipulierte Dynamic Link Library (DLL) in einen zentralen Prozess laden und eigenen Code mit Systemrechten ausführen.
Trend Micro selbst beschreibt das Risiko so: „Eine LoadLibraryEX-Schwachstelle in Trend Micro Apex Central könnte es einem nicht authentifizierten entfernten Angreifer ermöglichen, eine vom Angreifer kontrollierte DLL in eine zentrale, ausführbare Datei zu laden und so eigenen Code im Kontext von SYSTEM auszuführen.“
Zwei weitere Schwachstellen ermöglichen Denial-of-Service
Neben der kritischen Lücke wurden zwei weitere Sicherheitsprobleme behoben, die ebenfalls ohne Authentifizierung ausnutzbar sind. Beide erlauben Denial-of-Service-Angriffe (DoS) gegen betroffene Installationen:
- CVE-2025-69259 mit einem Score von 7,5 – eine ungeprüfte NULL-Rückgabe in der Nachrichtenverarbeitung
- CVE-2025-69260 mit einem Score von 7,5 – ein Out-of-Bounds-Lesezugriff in der Nachrichtenverarbeitung
Technische Details zur Ausnutzung
Entdeckt und gemeldet wurden alle drei Schwachstellen von Tenable bereits im August 2025. Besonders detailliert beschrieben ist die Ausnutzung der kritischen Lücke: Durch das Senden der Nachricht 0x0a8d mit der Bezeichnung SC_INSTALL_HANDLER_REQUEST an die Komponente MsgReceiver.exe wird eine vom Angreifer kontrollierte DLL geladen. Das Ergebnis ist Codeausführung mit erhöhten Rechten.
Die beiden DoS-Schwachstellen lassen sich ähnlich auslösen. Hier genügt eine speziell präparierte Nachricht 0x1b5b mit der Bezeichnung SC_CMD_CGI_LOG_REQUEST an denselben Prozess, der standardmäßig auf dem TCP-Port 20001 lauscht.
Wer ist betroffen und was ist jetzt zu tun
Betroffen sind alle lokalen Apex-Central-Versionen unterhalb von Build 7190. Trend Micro weist darauf hin, dass eine erfolgreiche Ausnutzung voraussetzt, dass der Angreifer bereits physischen oder entfernten Zugriff auf ein verwundbares System besitzt. Das relativiert das Risiko, macht es aber keineswegs harmlos.
Der Hersteller empfiehlt neben der umgehenden Installation der bereitgestellten Sicherheitsupdates zusätzliche Maßnahmen: „Neben der zeitnahen Anwendung von Patches und aktualisierten Lösungen sollten Kunden den Fernzugriff auf kritische Systeme überprüfen und sicherstellen, dass Richtlinien und Perimetersicherheit auf dem aktuellen Stand sind.“
Für Unternehmen, die Apex Central lokal betreiben, ist die Lage eindeutig. Die Kombination aus hoher Kritikalität, detailliert dokumentierter Ausnutzung und zentraler Verwaltungsfunktion macht diese Schwachstellen zu einem ernsthaften Risiko für die gesamte Windows-Infrastruktur.