Ошибка антивируса ESET позволила злоумышленникам получить системные привилегии Windows

отредактировано 3 фев Раздел: Уязвимости систем и приложений
Словацкая компания по обеспечению интернет-безопасности ESET выпустила исправления безопасности для устранения серьезной уязвимости повышения локальных привилегий, затрагивающей несколько продуктов в системах под управлением Windows 10 и более поздних версий или Windows Server 2016 и более поздних версий.

Об уязвимости (CVE-2021-37852) сообщил Майкл ДеПланте из Trend Micro Zero Day Initiative, и она позволяет злоумышленникам повышать привилегии до прав учетной записи NT AUTHORITY\SYSTEM (самый высокий уровень привилегий в системе Windows) с помощью Windows Antimalware Scan Interface (AMSI).

AMSI впервые был представлен в Windows 10 Technical Preview в 2015 году и позволяет приложениям и службам запрашивать сканирование буфера памяти у любого основного антивирусного продукта, установленного в системе.

Затронутые продукты ESET

Список продуктов, затронутых этой уязвимостью, довольно длинный и включает в себя:
ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security и ESET Smart Security Premium с версии 10.0.337.1 до 15.0.18.0
ESET Endpoint Antivirus для Windows и ESET Endpoint Security для Windows с версии 6.6.2046.0 до 9.0.2032.4
ESET Server Security для Microsoft Windows Server 8.0.12003.0 и 8.0.12003.1, ESET File Security для Microsoft Windows Server с версии 7.0.12014.0 до 7.3.12006.0
ESET Server Security для Microsoft Azure с версии 7.0.12016.1002 до 7.2.12004.1000
ESET Security для Microsoft SharePoint Server с версии 7.0.15008.0 до 8.0.15004.0
ESET Mail Security для IBM Domino с версии 7.0.14008.0 до 8.0.14004.0
ESET Mail Security для Microsoft Exchange Server с версии 7.0.10019 до 8.0.10016.0
Пользователям ESET Server Security для Microsoft Azure также рекомендуется немедленно обновить ESET File Security для Microsoft Azure до последней доступной версии ESET Server Security для Microsoft Windows Server, чтобы устранить уязвимость.

Производитель антивируса выпустил несколько обновлений безопасности в период с 8 декабря по 31 января для устранения этой уязвимости, когда он исправил последний уязвимый продукт, подвергшийся атакам.

К счастью, ESET не обнаружила доказательств использования эксплойтов, нацеленных на продукты, затронутые этой ошибкой безопасности.

«Поверхность атаки также можно устранить, отключив параметр «Включить расширенное сканирование через AMSI» в расширенной настройке продуктов ESET», — добавили в ESET.

«Однако ESET настоятельно рекомендует выполнить обновление до фиксированной версии продукта и применять этот обходной путь только в том случае, если обновление невозможно по важной причине».

https://www.bleepingcomputer.com/news/microsoft/eset-antivirus-bug-let-attackers-gain-windows-system-privileges/
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.