Ошибка антивируса ESET позволила злоумышленникам получить системные привилегии Windows

Ошибка антивируса ESET позволила злоумышленникам получить системные привилегии Windows

Словацкая компания по обеспечению интернет-безопасности ESET выпустила исправления безопасности для устранения серьезной уязвимости повышения локальных привилегий, затрагивающей несколько продуктов в системах под управлением Windows 10 и более поздних версий или Windows Server 2016 и более поздних версий.

Об уязвимости (CVE-2021-37852) сообщил Майкл ДеПланте из Trend Micro Zero Day Initiative, и она позволяет злоумышленникам повысить привилегии до прав учетной записи NT AUTHORITY\SYSTEM (самый высокий уровень привилегий в системе Windows) с помощью Windows Antimalware. Интерфейс сканирования (AMSI).

AMSI впервые был представлен в Windows 10 Technical Preview в 2015 году и позволяет приложениям и службам запрашивать сканирование буфера памяти у любого основного антивирусного продукта, установленного в системе.

Согласно ESET, это может быть достигнуто только после того, как злоумышленники получат  права SeImpersonatePrivilege, обычно назначаемые пользователям в локальной группе администраторов и локальной учетной записи службы устройства, чтобы выдавать себя за клиента после аутентификации, что должно «ограничить влияние этой уязвимости».

Однако в бюллетене ZDI говорится, что злоумышленникам требуется только «получить возможность выполнять код с низким уровнем привилегий в целевой системе», что соответствует рейтингу серьезности ESET CVSS, а также показывает, что ошибка может быть использована злоумышленниками с низкими привилегиями.

Хотя ESET заявила, что узнала об этой ошибке только 18 ноября, график раскрытия информации, доступный в бюллетене ZDI, показывает, что об уязвимости было сообщено четырьмя месяцами ранее, 18 июня 2021 года.

Затронутые продукты ESET

Список продуктов, затронутых этой уязвимостью, довольно длинный и включает в себя:

  • ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security и ESET Smart Security Premium с версии 10.0.337.1 до 15.0.18.0
  • ESET Endpoint Antivirus для Windows и ESET Endpoint Security для Windows с версии 6.6.2046.0 до 9.0.2032.4
  • ESET Server Security для Microsoft Windows Server 8.0.12003.0 и 8.0.12003.1, ESET File Security для Microsoft Windows Server с версии 7.0.12014.0 до 7.3.12006.0
  • ESET Server Security для Microsoft Azure с версии 7.0.12016.1002 до 7.2.12004.1000
  • ESET Security для Microsoft SharePoint Server с версии 7.0.15008.0 до 8.0.15004.0
  • ESET Mail Security для IBM Domino с версии 7.0.14008.0 до 8.0.14004.0
  • ESET Mail Security для Microsoft Exchange Server с версии 7.0.10019 до 8.0.10016.0

Пользователям ESET Server Security для Microsoft Azure также рекомендуется немедленно обновить ESET File Security для Microsoft Azure до последней доступной версии ESET Server Security для Microsoft Windows Server, чтобы устранить уязвимость.

Производитель антивируса выпустил несколько обновлений безопасности в период с 8 декабря по 31 января  для устранения этой уязвимости, когда он исправил последний уязвимый продукт, подвергшийся атакам.

К счастью, ESET не обнаружила доказательств использования эксплойтов, нацеленных на продукты, затронутые этой ошибкой безопасности.

«Поверхность атаки также можно устранить, отключив параметр «Включить расширенное сканирование через AMSI» в расширенных настройках продуктов ESET», — добавили в ESET.

«Однако ESET настоятельно рекомендует выполнить обновление до фиксированной версии продукта и применять этот обходной путь только в том случае, если обновление невозможно по важной причине».

Последнее обновление 27.06.2022