Dziura w oprogramowaniu antywirusowym ESET umożliwia przejęcie komputera

Ograniczone możliwości przeprowadzenia ataku

Według ESET atak można przeprowadzić tylko wtedy, gdy osoba atakująca uzyska uprawnienie „SeImpersonatePrivilege”. Dzięki temu może w niektórych przypadkach nadużywać funkcji skanowania AMSI w celu podwyższenia poziomu do NT AUTHORITY\SYSTEM. Warto tutaj zwrócić uwagę, że uprawnienie SeImpersonatePrivilege jest domyślnie dostępne dla lokalnej grupy Administratorzy i kont Local Service na systemie Windows. Ogranicza to znacznie wpływ tej luki na eksploatację. ZDI tłumaczy jednak, że atakujący powinien jedynie „uzyskać możliwość wykonywania nisko uprzywilejowanego kodu w systemie docelowym”, co odpowiada wskaźnikowi ważności CVSS ESET, pokazując również, że błąd może zostać wykorzystany przez cyberprzestępców o niskich uprawnieniach.

Produkty ESET, których dotyczy problem

• ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security i ESET Smart Security Premium od wersji 10.0.337.1 do 15.0.18.0
• ESET Endpoint Antivirus for Windows i ESET Endpoint Security for Windows od wersji 6.6.2046.0 do 9.0.2032.4
• ESET Server Security dla Microsoft Windows Server 8.0.12003.0 i 8.0.12003.1, ESET File Security dla Microsoft Windows Server od wersji 7.0.12014.0 do 7.3.12006.0
• ESET Server Security dla Microsoft Azure od wersji 7.0.12016.1002 do 7.2.12004.1000
• ESET Security dla Microsoft SharePoint Server od wersji 7.0.15008.0 do 8.0.15004.0
• ESET Mail Security dla IBM Domino od wersji 7.0.14008.0 do 8.0.14004.0
• ESET Mail Security dla Microsoft Exchange Server od wersji 7.0.10019 do 8.0.10016.0

Producent oprogramowania antywirusowego udostępnił wiele aktualizacji zabezpieczeń w okresie od 8 grudnia do 31 stycznia. Zalecamy wgranie łatek w celu zabezpieczenia komputerów. Do tej pory nie wykryto oficjalnych prób eksploitacji tych luk.