Уязвимость в антивирусе ESET позволяет получать привилегии SYSTEM в Windows

2022-02-03 3797 комментарии
Словацкая компания ESET выпустила патчи безопасности для исправления уязвимости локального повышения привилегий с высокой степенью риска, которая затрагивает несколько продуктов вендора в системах Windows 10 и новее, а также Windows Server 2016 и новее

Уязвимость с идентификатором CVE-2021-37852 была обнаружена исследователями Trend Micro Zero Day Initiative. Эксплойт позволяет злоумышленникам повышать права учетной записи до NT AUTHORITY\SYSTEM (самый высокий уровень привилегий в системе Windows) за счет использования Antimalware Scan Interface (AMSI).

Технология AMSI впервые была представлена в Windows 10 Technical Preview в 2015 году. Она позволяет приложениям и службам запрашивать сканирование буфера памяти у любого основного антивирусного продукта, установленного в системе.

Согласно ESET, успешная эксплуатация может быть осуществлена только после того, как злоумышленники получат права SeImpersonatePrivilege, обычно назначаемые пользователям в локальной группе администраторов и локальной учетной записи службы устройства. Только в этом случае они смогут выдавать себя за клиента после аутентификации, что должно «ограничить влияние этой уязвимости».

Однако, в бюллетене ZDI сообщается, что злоумышленникам требуется только «получить возможность выполнять код с низким уровнем привилегий в целевой системе», что соответствует рейтингу серьезности CVSS по шкале ESET. Таким образом, уязвимость может быть использована злоумышленниками с низкими привилегиями.

Хотя ESET заявила, что компания узнала об этой ошибке только 18 ноября, график раскрытия информации, доступный в бюллетене ZDI, показывает, что об уязвимости было сообщено четырьмя месяцами ранее, 18 июня 2021 года.

Затронутые продукты ESET

Уязвимости подвержено большое количество продуктов ESET:

Пользователям ESET Server Security для Microsoft Azure рекомендуется немедленно обновить ESET File Security для Microsoft Azure до последней доступной версии ESET Server Security для Microsoft Windows Server, чтобы устранить уязвимость.

Вендор выпустил несколько обновлений безопасности в период с 8 декабря по 31 января для устранения этой уязвимости. На данный момент проблема безопасности устранена во всех затронутых продуктах.

Компания ESET не обнаружила доказательств использования эксплойтов, нацеленных на продукты, подверженные этой уязвимости.

ESET сообщает:

Поверхность атаки также можно устранить, отключив параметр «Включить расширенное сканирование с помощью AMSI» в расширенных настройках продуктов ESET.

ESET настоятельно рекомендует выполнить обновление до исправленной версии продукта и применять этот обходной путь только в том случае, если обновление невозможно по важной причине.

© . По материалам Bleeping Computer

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?