Nasi sąsiedzi ze Słowacji, a konkretnie twórcy oprogramowania antywirusowego ESET nie są chyba specjalnie zadowoleni. Doczekali się nowej dziury w produkcie. Pozwala ona na przeprowadzenie eskalacji uprawnień użytkownika “Local System” (najwyższy poziom uprawnień w systemie Windows).
O wykrytym błędzie poinformował Michael DepLante z programu Zero Day Initiative Trend Micro. Podatność sklasyfikowano pod numerem CVE-2021-37852 wraz z wysokim poziomem ważności.
Luka umożliwia atakującym eskalację uprawnień do konta “Local System” za pomocą wbudowanej w system Windows ochrony przed złośliwym oprogramowaniem (Windows Antimalware Scan Interface (AMSI).
ESET szybko zareagował na zgłoszenie i wydał poprawki. Problem dotyczy oprogramowania instalowanego na systemach Windows 10 lub nowszym oraz Windows Server 2016 lub nowszym.
Ograniczone możliwości przeprowadzenia ataku
Według ESET atak można przeprowadzić tylko wtedy, gdy osoba atakująca uzyska uprawnienie „SeImpersonatePrivilege”. Dzięki temu może w niektórych przypadkach nadużywać funkcji skanowania AMSI w celu podwyższenia poziomu do NT AUTHORITY\SYSTEM. Warto tutaj zwrócić uwagę, że uprawnienie SeImpersonatePrivilege jest domyślnie dostępne dla lokalnej grupy Administratorzy i kont Local Service na systemie Windows. Ogranicza to znacznie wpływ tej luki na eksploatację. ZDI tłumaczy jednak, że atakujący powinien jedynie „uzyskać możliwość wykonywania nisko uprzywilejowanego kodu w systemie docelowym”, co odpowiada wskaźnikowi ważności CVSS ESET, pokazując również, że błąd może zostać wykorzystany przez cyberprzestępców o niskich uprawnieniach.
Produkty ESET, których dotyczy problem
- ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security i ESET Smart Security Premium od wersji 10.0.337.1 do 15.0.18.0
- ESET Endpoint Antivirus for Windows i ESET Endpoint Security for Windows od wersji 6.6.2046.0 do 9.0.2032.4
- ESET Server Security dla Microsoft Windows Server 8.0.12003.0 i 8.0.12003.1, ESET File Security dla Microsoft Windows Server od wersji 7.0.12014.0 do 7.3.12006.0
- ESET Server Security dla Microsoft Azure od wersji 7.0.12016.1002 do 7.2.12004.1000
- ESET Security dla Microsoft SharePoint Server od wersji 7.0.15008.0 do 8.0.15004.0
- ESET Mail Security dla IBM Domino od wersji 7.0.14008.0 do 8.0.14004.0
- ESET Mail Security dla Microsoft Exchange Server od wersji 7.0.10019 do 8.0.10016.0
Producent oprogramowania antywirusowego udostępnił wiele aktualizacji zabezpieczeń w okresie od 8 grudnia do 31 stycznia. Zalecamy wgranie łatek w celu zabezpieczenia komputerów. Do tej pory nie wykryto oficjalnych prób eksploitacji tych luk.