[CA7489] Lokale Rechteausweitung in ESET Produkten für Windows behoben

ESET Customer Advisory 2020-0007
April 27, 2020
Severity: High

Zusammenfassung

ESET wurde auf eine Schwachstelle in seinen Heimanwender- und Business-Produkten für die Windows-Plattform aufmerksam gemacht, die es Benutzern mit eingeschränkten Rechten ermöglicht, eine Datei zu schreiben oder den Inhalt einer vorhandenen Datei umzuschreiben, ohne die Erlaubnis dazu zu haben. ESET bereitete ein Fix vor, das durch automatische Produkt-Updates verteilt wird; eine Interaktion des Benutzers ist nicht erforderlich.

Details

Am 20. März 2020 erhielt ESET einen Bericht, der besagt, dass es auf einem Rechner mit einem betroffenen ESET Produkt, das auf einem betroffenen Windows-Betriebssystem installiert ist, für einen Benutzer mit eingeschränkten Zugriffsrechten möglich war, Hardlinks in einigen ESET-Verzeichnissen zu erstellen und dann das Produkt zu zwingen, über diese Links in Dateien zu schreiben, die normalerweise vom Benutzer nicht beschreibbar wären, wodurch eine Rechteausweitung erreicht wurde.

Diese Schwachstelle entstand nur aufgrund der Kombination aus bereits bestehenden Schwachstellen bei der Handhabung von Hardlinks innerhalb des Microsoft Windows-Betriebssystems und der Art und Weise, wie ESET Produkte Schreibvorgänge in bestimmten Verzeichnissen handhabten. ESET hat dies behoben, indem die Art und Weise, wie Schreibvorgänge in betroffenen Verzeichnissen gehandhabt werden, in allen Produkten geändert wurde.

Microsoft hat Sicherheitsupdates veröffentlicht, um die zugrunde liegende Schwachstelle im Betriebssystem abzudecken, ohne die das oben beschriebene Angriffsszenario nicht möglich sein wird; Einzelheiten finden Sie im Abschnitt Betroffene Produkte weiter unten.

Die reservierte CVE-ID für diese Schwachstelle lautet CVE-2020-11446.

Nach unserem besten Wissen gibt es in der freien Wildbahn keine existierenden Exploits, die diese Schwachstelle ausnutzen.

Lösung

ESET hat ein Fix erstellt, das automatisch im Antivirus- und Antispyware-Modul 1561 verteilt wird. Das Modul wird über automatische Produkt-Updates verteilt, so dass keine Benutzerinteraktion erforderlich ist. Die Verteilung des Moduls begann am 31. März 2020 um 10:40 MESZ für Kunden, die den Pre-Release Update-Kanal nutzen, und am 14. April 2020 um 10:30 MESZ für Anwender, die den regulären Update-Kanal nutzen.

Wir empfehlen dringend, dass Kunden auch Sicherheitsupdates von Microsoft anwenden, die über die im Abschnitt Betroffene Produkte unten aufgeführten Links zugänglich sind.

Affected products

Damit ein Produkt betroffen ist, müssen alle folgenden Bedingungen erfüllt sein:

  • Installiertes Produkt:
    • ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security, ESET Smart Security Premium
    • ESET Endpoint Antivirus, ESET Endpoint Security, ESET NOD32 Antivirus Business Edition, ESET Smart Security Business Edition
    • ESET File Security for Microsoft Windows Server, ESET Mail Security for Microsoft Exchange Server, ESET Mail Security for IBM Domino, ESET Security for Kerio, ESET Security for Microsoft SharePoint Server
  • Das Produkt hat ein Antivirus- und Antispyware-Modul in der Version von 1553 bis 1560 installiert (klicken Sie hier, um Anweisungen zur Überprüfung der Modulversion zu erhalten)
  • Auf dem Windows-Betriebssystem sind die Sicherheitsupdates für März 2020 nicht installiert; Einzelheiten finden Sie in den folgenden Microsoft-Advisories:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0849
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0841
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0840
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0896

Feedback & Support

Wenn Sie Feedback oder Fragen zu diesem Thema haben, wenden Sie sich bitte über das ESET Security Forum oder über den lokalen technischen Support von ESET an uns.

Danksagung

ESET legt Wert auf die Prinzipien der verantwortungsvollen Offenlegung innerhalb der Sicherheitsbranche und möchte unseren Dank an Trần Văn Khang (alias Khang Kì Tổ) - Infiniti Team, VinCSS (das Mitglied der Vingroup) aussprechen, der uns über dieses Problem berichtet hat.

Versionshistorie

Version 1.0 (27. April 2020): Erste Version dieses Dokuments