🥷 Эксперт PT SWARM Егор Филатов обнаружил ниндзя опасную уязвимость в антивирусе японской компании Trend Micro Дефект безопасности PT-2025-42831 (https://vk.cc/cQAuYL) / CVE-2025-59931 (https://vk.cc/cQAv40) / BDU:2025-04878 (https://vk.cc/cQAv7G) (7 баллов по шкале CVSS 4.0) затрагивал Trend Micro Antivirus версии 11.8.1283. Ошибка могла позволить злоумышленнику получить максимальные привилегии на компьютерах Apple — даже тех, с которых антивирус уже был удален. ⚠ Угроза была действительно серьезной: решениями Trend Micro пользуются более 500 000 компаний по всему миру. 🙍‍♂ Как это могло бы работать — объясняет наш эксперт: «Trend Micro Antivirus создает на компьютере пользователя специальный компонент, который действует с повышенными привилегиями, позволяя программе сканировать системные файлы и блокировать вредоносное ПО. После удаления уязвимой версии антивируса компонент оставался в папке, доступной любому пользователю. Для эксплуатации ошибки злоумышленнику достаточно было бы проникнуть в систему, например воспользовавшись вредоносной программой, замаскированной под обычное ПО». Завладев повышенными привилегиями, атакующий мог бы полностью контролировать действия пользователя, читать и изменять важные документы, похищать пароли и другие конфиденциальные данные, а также запустить шифровальщик или закрепиться в системе для постоянного доступа. Если компьютер подключен к корпоративной сети, злоумышленник мог бы распространить атаку дальше — похитить коммерческую информацию или нарушить бизнес-процессы компании. Производитель, которого мы уведомили об угрозе, выпустил обновления безопасности (https://helpcenter.trendmicro.com/en-us/article/TMKA-13009), появившиеся в версиях антивируса 11.8.1400 и 11.9.36. 🛠 Что делать пользователям Если обновить антивирус невозможно, наши специалисты рекомендуют: • Найти исполняемый файл фонового процесса в папке \Library\LaunchDaemons\ • Переместить его в \Library\PrivilegedHelperTools\ • Если уязвимая система была удалена с компьютера ранее, необходимо удалить и файл запуска этой программы. 🧐 Больше информации об уязвимости ищите на нашем сайте: https://vk.cc/cQAuKK или на портале dbugs: https://vk.cc/cQAuPm, где мы публикуем подробную информацию обо всех недостатках безопасности. #PositiveЭксперты #PositiveTechnologies