Η σλοβακική εταιρεία ασφάλειας διαδικτύου ESET κυκλοφόρησε διορθώσεις ασφαλείας για την αντιμετώπιση μιας ευπάθειας κλιμάκωσης τοπικών προνομίων υψηλής σοβαρότητας που επηρεάζει πολλά προϊόντα σε συστήματα που τρέχουν Windows 10 και μεταγενέστερες εκδόσεις ή Windows Server 2016 και νεότερες εκδόσεις.
Δείτε επίσης: Η Cloudflare ανακοίνωσε νέο public bug bounty πρόγραμμα
Το ελάττωμα (CVE-2021-37852) αναφέρθηκε από τον Michael DePlante της Trend Micro Zero Day Initiative και δίνει τη δυνατότητα στους εισβολείς να κλιμακώσουν τα δικαιώματα στα rights λογαριασμού NT AUTHORITY\SYSTEM (το υψηλότερο επίπεδο προνομίων σε ένα σύστημα Windows) χρησιμοποιώντας το Windows Antimalware Scan Interface (AMSI).
Το AMSI παρουσιάστηκε για πρώτη φορά με την τεχνική προεπισκόπηση των Windows 10 το 2015 και επιτρέπει σε εφαρμογές και υπηρεσίες να ζητούν σαρώσεις memory buffer από οποιοδήποτε σημαντικό προϊόν antivirus που είναι εγκατεστημένο στο σύστημα.
Σύμφωνα με την ΕSET, αυτό μπορεί να επιτευχθεί μόνο αφού οι εισβολείς αποκτήσουν δικαιώματα SeIpersonatePrivilege, τα οποία συνήθως εκχωρούνται σε χρήστες στην τοπική ομάδα διαχειριστών και στον λογαριασμό τοπικής υπηρεσίας της συσκευής για να πλαστοπροσωπήσουν έναν πελάτη μετά τον έλεγχο ταυτότητας, κάτι που όπως είναι λογικό θα πρέπει να “περιορίσει τον αντίκτυπο αυτής της ευπάθειας”.
Ωστόσο, το advisory του ZDI λέει ότι οι εισβολείς πρέπει να «αποκτήσουν τη δυνατότητα εκτέλεσης κώδικα χαμηλών προνομίων στο στοχευμένο σύστημα», που ταιριάζει με τη βαθμολογία σοβαρότητας CVSS της ΕSET, δείχνοντας ότι το σφάλμα μπορεί να χρησιμοποιηθεί από απειλητικούς παράγοντες με χαμηλά προνόμια.
Δείτε επίσης: Samba bug: Επιτρέπει απομακρυσμένη εκτέλεση κώδικα ως root
Ενώ η ESET είπε ότι ανακάλυψε για αυτό το σφάλμα μόλις στις 18 Νοεμβρίου, ένα χρονοδιάγραμμα αποκάλυψης που είναι διαθέσιμο στο advisory του ZDI αποκαλύπτει ότι η ευπάθεια αναφέρθηκε τέσσερις μήνες νωρίτερα, στις 18 Ιουνίου 2021.
Επηρεάζονται προϊόντα ESET
Η λίστα των προϊόντων που επηρεάζονται από αυτήν την ευπάθεια είναι αρκετά μεγάλη και περιλαμβάνει τα εξής:
- ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security και ESET Smart Security Premium από την έκδοση 10.0.337.1 έως 15.0.18.0
- ΕSET Endpoint Antivirus για Windows και ESET Endpoint Security για Windows από έκδοση 6.6.2046.0 έως 9.0.2032.4
- ESET Server Security για Microsoft Windows Server 8.0.12003.0 και 8.0.12003.1, ESET File Security για Microsoft Windows Server από έκδοση 7.0.12014.0 έως 7.3.12006.0
- ΕSET Server Security για Microsoft Azure από έκδοση 7.0.12016.1002 έως 7.2.12004.1000
- ESET Security για Microsoft SharePoint Server από έκδοση 7.0.15008.0 έως 8.0.15004.0
- ESET Mail Security για IBM Domino από έκδοση 7.0.14008.0 έως 8.0.14004.0
- ESET Mail Security για Microsoft Exchange Server από έκδοση 7.0.10019 έως 8.0.10016.0
Επίσης, συντιστάται στους χρήστες του ESET Server Security για Microsoft Azure να ενημερώσουν αμέσως το ESET File Security για Microsoft Azure στην πιο πρόσφατη διαθέσιμη έκδοση του ESET Server Security για Microsoft Windows Server για να αντιμετωπίσουν το ελάττωμα.
Η εταιρεία κατασκευής antivirus κυκλοφόρησε πολλαπλές ενημερώσεις ασφαλείας από τις 8 Δεκεμβρίου μέχρι και τις 31 Ιανουαρίου για την αντιμετώπιση αυτής της ευπάθειας, όταν επιδιορθώθηκε το τελευταίο ευάλωτο προϊόν που εκτέθηκε σε επιθέσεις.
Δείτε επίσης: Bug: Εξαντλείται η μπαταρία των MacBook όταν βρίσκονται σε sleep mode
Ευτυχώς, η ESET δεν βρήκε στοιχεία για exploits που έχουν σχεδιαστεί για να στοχεύουν προϊόντα που επηρεάζονται από αυτό το σφάλμα ασφαλείας.
Πηγή πληροφοριών: bleepingcomputer.com
