Bug del Antivirus ESET permite obtener privilegios SYSTEM en Windows

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La empresa de seguridad de Internet eslovaca ESET lanzó correcciones de seguridad para abordar una vulnerabilidad de escalada de privilegios locales de alta gravedad que afecta a múltiples productos en sistemas que ejecutan Windows 10 y versiones posteriores o Windows Server 2016 y versiones posteriores.

La falla (CVE-2021-37852) fue reportada por Michael DePlante de Zero Day Initiative de Trend Micro, y permite a los atacantes aumentar los privilegios a los derechos de cuenta NT AUTHORITY\SYSTEM (el nivel más alto de privilegios en un sistema Windows) usando la Interfaz de Escaneo Antimalware en Windows (AMSI).

AMSI se introdujo por primera vez con Windows 10 Technical Preview en 2015 y permite que las aplicaciones y los servicios soliciten escaneos del búfer de memoria de cualquier producto antivirus importante instalado en el sistema.

Según ESET, esto solo se puede lograr después de que los atacantes obtengan los derechos SeImpersonatePrivilege, normalmente asignados a los usuarios en el grupo de administradores locales y la cuenta de servicio local del dispositivo para hacerse pasar por un cliente después de la autenticación, lo que debería "limitar el impacto de esta vulnerabilidad".

Sin embargo, el aviso de ZDI dice que los atacantes solo deben "obtener la capacidad de ejecutar código con pocos privilegios en el sistema de destino", lo que coincide con la calificación de gravedad CVSS de ESET y también muestra que los actores de amenazas con pocos privilegios pueden explotar el error.

Si bien ESET dijo que solo se enteró de este error el 18 de noviembre, un cronograma de divulgación disponible en el aviso de ZDI revela que la vulnerabilidad se informó cuatro meses antes, el 18 de junio de 2021.
Productos ESET afectados

La lista de productos afectados por esta vulnerabilidad es bastante larga e incluye:

    ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security y ESET Smart Security Premium de la versión 10.0.337.1 a la 15.0.18.0
    ESET Endpoint Antivirus para Windows y ESET Endpoint Security para Windows desde la versión 6.6.2046.0 a la 9.0.2032.4
    ESET Server Security para Microsoft Windows Server 8.0.12003.0 y 8.0.12003.1, ESET File Security para Microsoft Windows Server desde la versión 7.0.12014.0 hasta la 7.3.12006.0
    ESET Server Security para Microsoft Azure desde la versión 7.0.12016.1002 hasta la 7.2.12004.1000
    ESET Security para Microsoft SharePoint Server desde la versión 7.0.15008.0 a la 8.0.15004.0
    ESET Mail Security para IBM Domino desde la versión 7.0.14008.0 a la 8.0.14004.0
    ESET Mail Security para Microsoft Exchange Server desde la versión 7.0.10019 a la 8.0.10016.0

También se recomienda a los usuarios de ESET Server Security para Microsoft Azure que actualicen de inmediato ESET File Security para Microsoft Azure a la última versión disponible de ESET Server Security para Microsoft Windows Server para corregir la falla.

El fabricante de antivirus lanzó múltiples actualizaciones de seguridad entre el 8 de diciembre y el 31 de enero para abordar esta vulnerabilidad, cuando parchó el último producto vulnerable expuesto a ataques.

Afortunadamente, ESET no encontró evidencia de exploits diseñados para atacar productos afectados por este error de seguridad en la naturaleza.

"La superficie de ataque también se puede eliminar al deshabilitar la opción Habilitar escaneo avanzado a través de AMSI en la Configuración avanzada de los productos ESET", agregó ESET.

"Sin embargo, ESET recomienda encarecidamente realizar una actualización a una versión fija del producto y solo aplicar esta solución alternativa cuando la actualización no sea posible por una razón importante".

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta