Уязвимость с идентификатором CVE-2021-37852 была обнаружена исследователями Trend Micro Zero Day Initiative. Эксплойт позволяет злоумышленникам повышать права учетной записи до NT AUTHORITY\SYSTEM (самый высокий уровень привилегий в системе Windows) за счет использования Antimalware Scan Interface (AMSI).
Технология AMSI впервые была представлена в Windows 10 Technical Preview в 2015 году. Она позволяет приложениям и службам запрашивать сканирование буфера памяти у любого основного антивирусного продукта, установленного в системе.
Согласно ESET, успешная эксплуатация может быть осуществлена только после того, как злоумышленники получат права SeImpersonatePrivilege, обычно назначаемые пользователям в локальной группе администраторов и локальной учетной записи службы устройства. Только в этом случае они смогут выдавать себя за клиента после аутентификации, что должно «ограничить влияние этой уязвимости».
Однако, в бюллетене ZDI сообщается, что злоумышленникам требуется только «получить возможность выполнять код с низким уровнем привилегий в целевой системе», что соответствует рейтингу серьезности CVSS по шкале ESET. Таким образом, уязвимость может быть использована злоумышленниками с низкими привилегиями.
Хотя ESET заявила, что компания узнала об этой ошибке только 18 ноября, график раскрытия информации, доступный в бюллетене ZDI, показывает, что об уязвимости было сообщено четырьмя месяцами ранее, 18 июня 2021 года.
Затронутые продукты ESET
Уязвимости подвержено большое количество продуктов ESET:
- ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security и ESET Smart Security Premium от версии 10.0.337.1 до 15.0.18.0
- ESET Endpoint Antivirus для Windows и ESET Endpoint Security для Windows от версии 6.6.2046.0 до 9.0.2032.4
- ESET Server Security для Microsoft Windows Server 8.0.12003.0 и 8.0.12003.1, ESET File Security для Microsoft Windows Server от версии 7.0.12014.0 до 7.3.12006.0
- ESET Server Security для Microsoft Azure от версии 7.0.12016.1002 до 7.2.12004.1000
- ESET Security для Microsoft SharePoint Server от версии 7.0.15008.0 до 8.0.15004.0
- ESET Mail Security для IBM Domino от версии 7.0.14008.0 до 8.0.14004.0
- ESET Mail Security для Microsoft Exchange Server от версии 7.0.10019 до 8.0.10016.0
Пользователям ESET Server Security для Microsoft Azure рекомендуется немедленно обновить ESET File Security для Microsoft Azure до последней доступной версии ESET Server Security для Microsoft Windows Server, чтобы устранить уязвимость.
Вендор выпустил несколько обновлений безопасности в период с 8 декабря по 31 января для устранения этой уязвимости. На данный момент проблема безопасности устранена во всех затронутых продуктах.
Компания ESET не обнаружила доказательств использования эксплойтов, нацеленных на продукты, подверженные этой уязвимости.
ESET сообщает:
Поверхность атаки также можно устранить, отключив параметр «Включить расширенное сканирование с помощью AMSI» в расширенных настройках продуктов ESET.
ESET настоятельно рекомендует выполнить обновление до исправленной версии продукта и применять этот обходной путь только в том случае, если обновление невозможно по важной причине.
Угрозы безопасности
• Apple устранила более 50 уязвимостей в свежих обновлениях iOS, iPadOS и macOS
• Вирус Triada на поддельных смартфонах крадёт Telegram-аккаунты и криптовалюту
• Атака «Фишинг как услуга» использует DNS-over-HTTPS для обхода обнаружения
• Mozilla предупреждает о критической уязвимости обхода песочницы в Firefox для Windows
• Популярные расширения Chrome взломали. Как защитить себя?
• Keenetic подтвердила взлом приложения для управления роутерами: Утекли данные более миллиона пользователей, большинство – из России