Trend Micro warnt vor kritischer Lücke in Sicherheits-Management-System

Ein schwerer Fehler in der Apex Central-Konsole ermöglicht Angreifern die vollständige Übernahme des Servers – ohne Anmeldung. Das Risiko für Unternehmen ist extrem hoch.

In einer dringenden Sicherheitswarnung hat Trend Micro eine kritische Schwachstelle in seiner lokalen Management-Konsole Apex Central bekannt gegeben. Die als CVE-2025-69258 geführte Lücke erreicht auf der CVSS-Skala die nahezu maximale Gefahrenstufe von 9,8 von 10 Punkten. Unbefugte Angreifer könnten darüber beliebigen Code mit SYSTEM-Rechten ausführen und so die vollständige Kontrolle über den zentralen Sicherheitsserver erlangen. Der Patch ist seit dem 7. Januar verfügbar.

System-Übernahme ohne Hindernisse: Die RCE-Lücke

Der Kern des Problems ist eine Remote-Code-Ausführungsschwachstelle (RCE). Sie entsteht durch eine unsachgemäße Verarbeitung in der LoadLibraryEx-Funktion der Software. Konkret ist der Prozess MsgReceiver.exe betroffen, der auf TCP-Port 20001 lauscht.

Proof-of-Concept-Code und verwundbare Management‑Konsolen wie Apex Central zeigen, wie schnell Angreifer volle Server­kontrolle erlangen können. Viele Unternehmen sind dafür nicht ausreichend vorbereitet — gerade wenn Patches zwar vorhanden, aber nicht zeitnah verteilt werden. Ein kostenloses E‑Book erklärt aktuelle Cyber‑Security‑Trends, welche Schutzmaßnahmen sofort Wirkung zeigen und wie Sie Ihr Unternehmen ohne große Zusatzkosten gegen RCE‑Angriffe und ähnliche Bedrohungen härten. Jetzt Cyber‑Security‑Leitfaden kostenlos herunterladen

Das Gefährliche: Für einen Angriff sind weder eine Authentifizierung noch eine Benutzerinteraktion nötig. Ein Angreifer mit Netzwerkzugang zum Server kann eine speziell präparierte Nachricht senden. Diese veranlasst das System, eine schädliche DLL-Datei zu laden und mit höchsten Privilegien auszuführen.

Für Sicherheitsexperten ist das ein „Game-Over“-Szenario. Da Apex Central als zentrale Steuerung für Endpoint-Security dient, könnte ein Kompromittieren dieses Servers katastrophale Folgen haben. Angreifer könnten Sicherheitsrichtlinien außer Kraft setzen, Virenschutz im gesamten Netzwerk deaktivieren oder den Server als Sprungbrett für Angriffe auf andere sensible Systeme nutzen.

Zwei weitere Risiken: Angriffe auf die Verfügbarkeit

Neben der kritischen RCE-Lücke benennt die Advisory zwei weitere Schwachstellen mit hohem Schweregrad (CVSS 7,5).

• CVE-2025-69259: Ein ungeprüfter NULL-Rückgabewert kann durch manipulierte Nachrichten ausgelöst werden und zum Absturz des Dienstes führen.
• CVE-2025-69260: Eine „Out-of-Bounds-Read“-Schwachstelle ermöglicht es ebenfalls, den Dienst zum Absturz zu bringen.

Diese Denial-of-Service (DoS)-Lücken erlauben zwar keine Code-Ausführung, bedrohen aber die Geschäftskontinuität. Ein lahmgelegtes Sicherheits-Management blendet Administratoren in einer Krisensituation aus und verhindert die Verteilung wichtiger Sicherheitsupdates im Netzwerk.

Dringende Maßnahmen: Patchen und Absichern

Trend Micro hat als Reaktion das Critical Patch Build 7190 veröffentlicht. Alle früheren Versionen der lokalen Apex Central-Instanz sind gefährdet. Das Update sollte umgehend installiert werden.

Für Unternehmen, die nicht sofort patchen können, empfiehlt sich ein mehrschichtiger Ansatz:
1. Netzwerkzugriff beschränken: Der Zugriff auf die Apex Central-Konsole und die betroffenen Ports sollte durch Firewall-Regeln strikt auf vertrauenswürdige Management-Netze beschränkt werden.
2. Kritische Systeme isolieren: Der Management-Server darf keinesfalls direkt aus dem öffentlichen Internet erreichbar sein.

Auch wenn die Ausnutzung der RCE-Lücke laut Hersteller „mehrere spezifische Bedingungen“ erfordern könnte, ist das Risiko aufgrund der einfachen Angriffsvektors und der hohen Privilegien zu groß, um sich allein auf solche Abschwächungen zu verlassen.

Entdeckung und Hintergrund

Die Schwachstellen wurden bereits im August 2025 von Forschern des Sicherheitsunternehmens Tenable entdeckt und gemäß eines koordinierten Offenlegungsprozesses an Trend Micro gemeldet. Nach der Veröffentlichung der Patches stellte Tenable am 9. Januar einen technischen Bericht mit Proof-of-Concept-Code (PoC) online.

Die Verfügbarkeit solcher Blaupausen beschleunigt typischerweise die Entwicklung von Angriffstools durch Cyberkriminelle. Der Vorfall unterstreicht ein grundsätzliches Problem: Die Werkzeuge, die zum Schutz von Netzwerken dienen, sind selbst lukrative Ziele. Zentralisierte Management-Konsolen wie Apex Central, die oft tief im Netzwerk verwurzelt sind und Tausende Endpunkte verwalten, sind „Schlüssel zum Königreich“.

Bislang gibt es keine bestätigten Meldungen über aktive Angriffe, die diese Lücken ausnutzen. Die historischen Daten zeigen jedoch, dass Trend Micro-Produkte in der Vergangenheit bereits von Advanced Persistent Threats (APTs) ins Visier genommen wurden. Die Zeit für proaktive Abwehr schwindet rapide. Sicherheitsteams sollten umgehend ihre Apex Central-Version überprüfen und bei Bedarf Notfall-Wartungsfenster einplanen.

PS: Sie haben gerade gelesen, wie gefährlich zentrale Verwaltungskonsolen sein können. Wenn Sie schnelle, praxiserprobte Maßnahmen brauchen, hilft unser Gratis‑E‑Book: klare Prioritäten für Sofortmaßnahmen, Checklisten für Leitstellen und einfache Schritte, mit denen IT‑Teams auch ohne zusätzliches Personal das Risiko deutlich senken. Ideal für IT‑Verantwortliche und Geschäftsführer, die jetzt handeln müssen. Gratis E‑Book ‘Cyber Security Awareness Trends’ anfordern