Propust u antivirusnom softweru ESET

IT

Slovačka firma za internet sigurnost ESET objavila je sigurnosne ispravke kako bi se riješila ranjivost visokog stepena lokalne eskalacije privilegija koja utječe na više proizvoda na sistemima koji koriste Windows 10 i noviji ili Windows Server 2016 i noviji.

Grešku (CVE-2021-37852) je prijavio Michael DePlante iz Trend Micro-ove Zero Day Initiative, i ona omogućava napadačima da eskaliraju privilegije na prava NT AUTHORITY\SYSTEM naloga (najviši nivo privilegija na Windows sistemu) koristeći Windows Antimalware Interfejs za skeniranje (AMSI).

AMSI je prvi put predstavljen sa Windows 10 Technical Preview 2015. godine i omogućava aplikacijama i uslugama da zatraže skeniranje memorijskog bafera od bilo kojeg većeg antivirusnog proizvoda instaliranog na sistemu.

Prema ESET-u, ovo se može postići samo nakon što napadači steknu prava SeImpersonatePrivilege, koja se obično dodjeljuju korisnicima u lokalnoj grupi administratora i lokalnom servisnom računu uređaja da se lažno predstavljaju kao klijent nakon provjere autentičnosti, što bi trebalo "ograničiti utjecaj ove ranjivosti".

Međutim, ZDI-jevo savjetovanje kaže da se od napadača traži samo da "dobiju mogućnost izvršavanja koda s niskim privilegijama na ciljnom sistemu", što odgovara ESET-ovoj CVSS ocjeni ozbiljnosti, što također pokazuje da grešku mogu iskoristiti akteri prijetnji s niskim privilegijama.

Iako je ESET rekao da je saznao za ovu grešku tek 18. novembra, rok za otkrivanje dostupan u ZDI-jevom savjetovanju otkriva da je ranjivost prijavljena četiri mjeseca ranije, 18. juna 2021.

Pogođeni proizvodi ESET-a

Lista proizvoda na koje utiče ova ranjivost je prilično duga i uključuje:

ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security i ESET Smart Security Premium od verzije 10.0.337.1 do 15.0.18.0

ESET Endpoint Antivirus za Windows i ESET Endpoint Security za Windows od verzije 6.6.2046.0 do 9.0.2032.4

ESET Server Security za Microsoft Windows Server 8.0.12003.0 i 8.0.12003.1, ESET File Security za Microsoft Windows Server od verzije 7.0.12014.0 do 7.3.12006.0

ESET Server Security za Microsoft Azure od verzije 7.0.12016.1002 do 7.2.12004.1000

ESET Security za Microsoft SharePoint Server od verzije 7.0.15008.0 do 8.0.15004.0

ESET Mail Security za IBM Domino od verzije 7.0.14008.0 do 8.0.14004.0

ESET Mail Security za Microsoft Exchange Server od verzije 7.0.10019 do 8.0.10016.0

Korisnicima ESET Server Security za Microsoft Azure se također savjetuje da odmah ažuriraju ESET File Security za Microsoft Azure na najnoviju dostupnu verziju programa ESET Server Security za Microsoft Windows Server kako bi otklonili nedostatak.

Proizvođač antivirusa objavio je više sigurnosnih ažuriranja između 8. decembra i 31. januara kako bi riješio ovu ranjivost, kada je zakrpio posljednji ranjivi proizvod izložen napadima.

Srećom, ESET nije pronašao dokaze o eksploataciji dizajniranoj da cilja proizvode na koje utiče ova sigurnosna greška u divljini.

"Površina napada također se može eliminirati onemogućavanjem opcije Omogući napredno skeniranje putem AMSI-a u Naprednom podešavanju proizvoda ESET-a", dodao je ESET.

"Međutim, ESET snažno preporučuje izvođenje nadogradnje na fiksnu verziju proizvoda i primjenu ovog rješenja samo kada nadogradnja nije moguća iz važnog razloga."

Pročitajte više: Mia Marić: Najmlađa doktorica nauka iz BiH

Pratite nas na Facebook akter.ba

Pratite nas na našim stranicama na

Vezane vijesti

Odgovori