Esta semana Trend Micro lançou adesivos para duas falhas críticas em sua plataforma de proteção de endpoints Apex One que, se não forem corrigidas, permitem que um atacante execute código remotamente em equipamentos Windows vulneráveis. Trata-se de vulnerabilidades na consola de gestão que aproveitam uma fraqueza de percursos (path traversal) e que, em determinadas condições, abrem a porta à execução remota de código.
Apex One é a suíte de segurança que muitas organizações usam para detectar e responder a ameaças como malware, spyware e ferramentas maliciosas em estações e servidores. Quando a consola de administração tem uma falha no manejo de rotas de arquivos, um atacante pode forçar a leitura ou escrita fora das pastas previstas e, em combinação com outras condições, converter essa falta de controle em uma execução remota. Trend Micro descreve as duas falhas em seu aviso técnico, que afetam diferentes executáveis da consola e foram rotuladas como CVE-2025-71210 e CVE-2025-71211. Mais informações técnicas e recomendações oficiais estão disponíveis no comunicado da empresa: Trend Micro: advisory sobre Apex One.
Desde a nota de Trend Micro se indica ainda que a exploração bem-sucedida exige acesso à consola de gestão. Na prática, isto significa que as instâncias cuja IP de administração seja acessível da internet têm um risco maior, e por isso a empresa sugere medidas complementares como restringir as fontes que podem ligar à consola enquanto o adesivo é aplicado. Embora a assinatura assinala que não se observaram explorações dessas vulnerabilidades em estado selvagem por agora, seu recente histórico demonstra que as falhas em componentes de administração da Apex One foram alvo de atacantes em várias ocasiões.
Para resolver estes erros Trend Micro atualizou as versões SaaS da Apex One e publicou o Critical Patch Build 14136 para instalações gerenciadas, que também corrige duas vulnerabilidades de escalagem de privilégios no agente do Windows e quatro problemas adicionais no agente para macOS. Se você gerencia instâncias locais, é importante aplicar este adesivo; se você usa a modalidade SaaS, verifique que seu ambiente já está na última build. O aviso oficial explica os passos e versões afetados: ver advisory de Trend Micro.
O registo de incidentes passados mostra que não é exagero tomar estas advertências a sério. Outras falhas da Apex One foram previamente exploradas e várias entradas ligadas à solução aparecem no catálogo de vulnerabilidades exploradas por atores reais que mantém a Agência de Segurança de Infra-estruturas e Cibersegurança dos Estados Unidos (CISA). Atualmente CISA lista dez vulnerabilidades de Trend Micro Apex que foram identificadas como exploradas em ambientes reais; consultar ajuda a contextualizar a frequência e o impacto deste tipo de problemas: CISA: Known Exploited Vulnerabilities (Tendência Micro Apex).
Se você gerencia equipamentos protegidos pela Apex One, deve priorizar várias ações: verificar imediatamente se a consola de gestão está exposta a redes externas, aplicar as restrições de acesso por IP ou VPN se não estiverem em vigor, atualizar à última build recomendada pela Trend Micro e revisar os registros e telemetria para detectar atividade incomum em torno da consola e dos agentes. A segurança complementar a nível de rede, como a segmentação e o princípio de menor privilégio nas contas de administração, reduz a probabilidade de uma vulnerabilidade desse tipo se transformar numa intrusão maior.
Para entender melhor por que uma falha de percursos pode ser tão perigosa, ajuda repassar recursos sobre este tipo de ataques: o conceito básico é que o software confia em rotas de arquivos controladas pelo usuário e não valida corretamente entradas que permitem escapar da pasta prevista. Recursos formativos como a documentação de OWASP explicam o problema e as mitigações genéricas: OWASP: Path Traversal.
Em suma, embora nesta ocasião não haja evidência pública de exploração maciça, as condições descritas pela Trend Micro fazem com que a atualização seja prioritária. Actualizar a consola e os agentes, limitar o acesso administrativo a partir de redes não confiáveis e monitorar a atividade da plataforma São as medidas imediatas que podem marcar a diferença entre um adesivo aplicado a tempo e uma lacuna com consequências amplas.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...