●概述：
趨勢公司中控式防毒軟體OfficeScan系列存在數起弱點，多為遠端攻擊，駭客在連線狀態下，可藉RCE觸發記憶體崩壞、DOS、空間消耗；或者盜取密鑰；及注入HOST header與實行Man In The Middle，讓受害者瀏覽轉址網頁且略過憑證檢查步驟；而本機端Image File Execution Options劫持事件則讓Change Prevention服務停工，使OfficeScan核心功能有遭瓦解風險，Trend Micro提供2套對應之安全更新。
●編註：
(1)Memory Corruption
駭客對OfficeScan專用執行檔cgiShowClientAdm.exe建立連線，能觸發記憶體崩壞。
(2)主機標頭Injection
一名為db_controller.php之網頁介面有賴於$_SERVER['HTTP_HOST']指令處理資料，但易遭
$_SERVER['SERVER_NAME']冒名頂替，只要用涉及惡意網頁HOST header的HTTP GET替換快取記憶，將提取任何網址連結而轉向惡意網站。
(3)Process Execution / DOS
能連線到OfficeScan XG，即可臨時啟動fcgiOfcDDA.exe，讓程序稍縱即逝，且持續送出HTTP request，製造鉅量轉儲文件(dump files)耗盡server硬碟。
(4)中間人攻擊
該項Man In The Middle(MITM)關係到以command處理網路通信的CURL，在libcurl函式庫中有Send()，引用到兩個boolean參數CURLOPT_SSL_VERIFYPEER與CURLOPT_SSL_VERIFYHOST。其中CURLOPT_SSL_VERIFYPEER預設為TRUE表示是要驗證伺服器憑證是否為真跡，若設為FALSE，則盲目接受任何伺服器憑證，且諸如CURLOPT_SSL_VERIFYHOST, CURLOPT_CAINFO, CURLOPT_CAPATH 等設定俱無意義。
另外CURLOPT_SSL_VERIFYHOST用來判斷所欲通信對象是否正確，舊版libcurl調整為3個輸入選項，值為”0”則不檢查憑證、”1”檢查憑證中common name字串、”2”表示查驗當前域名是否與CN匹配，libcurl_7.28.1之後版本因常被誤用參數值，故精簡到0、2兩種取值，且預設為2。
駭客使用CURL發動MITM，假冒HttpTalk.php送出上述兩參數且設定值為FALSE，以RCE手段進行Bypass安全機制。
(5)Encryption Key洩漏
由於4343係OfficeScan XG常用port，讓駭客遠端取得防護時能下載密鑰檔crypt.key，此乃OfficeScan XG程序專用。
(6)映像劫持(Image Hijack) bypass防毒機制
在Windows內操縱registry登錄值可以竄改Image File Execution Options(IFEO)機碼的Debugger參數，而達成開機後執行某選定執行檔，謂之Image Hijack，此屬系統自帶功能，一般用戶無從關注，所以病毒(非預期程式)通過映像劫持啟動，表象觀之如正常程序，而本應執行的程式卻無動作。
Trend Micro對安全防護的設計是常駐型，不希望被輕易中斷，故本機端運行一服務Unauthorized Change Prevention Service，用以保護PccNTMon.exe之類的趨勢安全程式不終止，且保護系統的相關registry不能任意變更，即便是Administrator。在OfficeScan用戶端的TMBMSRV.exe正是該啟動後運作到關機為止的變更防範服務，本機攻擊如下列操作：
＊執行regedit開啟登錄表
＊找到IFEO新增未命名的key
＊在key下層新增字串"debugger"，賦予參數\Windows\system32\calc.exe
＊key命名為TMBMSRV.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TMBMSRV.exe
Debugger=\Windows\system32\calc.exe
重開機後小算盤就劫持OfficeScan的Change Prevention服務，從此與TMBMSRV有關的操作都被移花接木，除非改檔名。