[CA8223] Schwachstelle für lokale Rechteausweitung in ESET Produkten für Windows behoben

ESET Customer Advisory 2022-0004
31. Januar 2022
Schweregrad: Hoch

Zusammenfassung

ESET wurde von der Zero Day Initiative (ZDI) ein Bericht über eine potenzielle Sicherheitslücke zur lokalen Rechteausweitung übermittelt. Sie ermöglicht es in bestimmten Fällen einem Angreifer die AMSI-Scanfunktion zu missbrauchen. ESET hat das Problem bereits behoben und empfiehlt die Verwendung der neuesten Produktversionen, wie unten beschrieben.

Details

Am 18. November 2021 wurde ESET auf eine potenzielle Schwachstelle zur lokalen Rechteausweitung in seinen Produkten für Windows aufmerksam. Laut dem Bericht, der von der Zero Day Initiative (ZDI) übermittelt wurde, kann ein Angreifer, der in der Lage ist, SeImpersonatePrivilege zu erlangen, die AMSI-Scan-Funktion missbrauchen, um sich in einigen Fällen die Rechte von NT AUTHORITY\SYSTEM anzueignen. Das SeImpersonatePrivilege steht standardmäßig der lokalen Administratorengruppe und den lokalen Dienstkonten des Geräts zur Verfügung, die bereits hoch privilegiert sind und somit die Auswirkungen dieser Sicherheitsanfälligkeit begrenzen.

ESET untersuchte und verifizierte diesen Bericht und erstellte neue Builds seiner Produkte, die für diese Sicherheitslücke nicht anfällig sind.

Die von ESET für diese Sicherheitslücke reservierte CVE-ID lautet CVE-2021-37852 mit dem folgenden CVSS-V3-Vektor: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H.

Soweit wir wissen, gibt es keine Exploits, die diese Schwachstelle ausnutzen.

Lösung

ESET hat die folgenden korrigierten Produktversionen veröffentlicht, die nicht für die Sicherheitslücke anfällig sind, und empfiehlt den Anwendern, so bald wie möglich auf diese Versionen zu aktualisieren:

  • ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security und ESET Smart Security 15.0.19.0 (veröffentlicht am 8. Dezember 2021)
  • ESET Endpoint Antivirus for Windows und ESET Endpoint Security for Windows 9.0.2032.6 and 9.0.2032.7 (veröffentlicht am 16. Dezember 2021)
  • ESET Endpoint Antivirus for Windows und ESET Endpoint Security for Windows 8.0.2028.3, 8.0.2028.4, 8.0.2039.3, 8.0.2039.4, 8.0.2044.3, 8.0.2044.4, 8.1.2031.3, 8.1.2031.4, 8.1.2037.9 and 8.1.2037.10 (veröffentlicht am 25. Januar 2022)
  • ESET Endpoint Antivirus for Windows und ESET Endpoint Security for Windows 7.3.2055.0 und 7.3.2055.1 (veröffentlicht am 31. Januar 2022)
  • ESET Server Security for Microsoft Windows Server 8.0.12010.0 (veröffentlicht am 16. Dezember 2021)
  • ESET File Security for Microsoft Windows Server 7.3.12008.0 (veröffentlicht am 12. Januar 2022)
  • ESET Security for Microsoft SharePoint Server 8.0.15006.0 (veröffentlicht am 16. Dezember 2021)
  • ESET Security for Microsoft SharePoint Server 7.3.15002.0 (veröffentlicht am 12. Januar 2022)
  • ESET Mail Security for IBM Domino 8.0.14006.0 (veröffentlicht am 16. Dezember 2021)
  • ESET Mail Security for IBM Domino 7.3.14003.0 (veröffentlicht am 26. Januar 2022)
  • ESET Mail Security for Microsoft Exchange Server 8.0.10018.0 (veröffentlicht am 16. Dezember 2021)
  • ESET Mail Security for Microsoft Exchange Server 7.3.10014.0 (veröffentlicht am 26. Januar 2022)

Benutzern von ESET File Security for Microsoft Azure bzw. ESET Server Security for Microsoft Azure wird empfohlen,  ESET File Security for Microsoft Azure auf die neueste Version von ESET Server Security for Microsoft Windows Server zu aktualisieren.

Alternativer Lösungsansatz

Die Angriffsmöglichkeit kann auch durch Deaktivieren der Option Enable advanced scanning via AMSI in den erweiterten Einstellungen der ESET Produkte beseitigt werden.

ESET empfiehlt jedoch dringend, ein Upgrade auf eine aktuelle Produktversion durchzuführen und diesen Workaround nur anzuwenden, wenn das Upgrade aus einem wichtigen Grund nicht möglich ist.

Betroffene Programme und Versionen

Die folgenden Produktversionen sind für die Sicherheitslücke anfällig, wenn sie unter Windows 10 und höher oder Windows Server 2016 und höher ausgeführt werden:

  • ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security und ESET Smart Security Premium Version 10.0.337.1 bis 15.0.18.0
  • ESET Endpoint Antivirus for Windows und ESET Endpoint Security for Windows Version 6.6.2046.0 bis 9.0.2032.4
  • ESET Server Security for Microsoft Windows Server Version 8.0.12003.0 und 8.0.12003.1, ESET File Security for Microsoft Windows Server Version 7.0.12014.0 bis 7.3.12006.0
  • ESET Server Security for Microsoft Azure Version 7.0.12016.1002 bis 7.2.12004.1000
  • ESET Security for Microsoft SharePoint Server Version 7.0.15008.0 bis 8.0.15004.0
  • ESET Mail Security for IBM Domino Version 7.0.14008.0 bis 8.0.14004.0
  • ESET Mail Security for Microsoft Exchange Server Version 7.0.10019 bis 8.0.10016.0

Feedback & Support

Wenn Sie Feedback oder Fragen zu diesem Problem haben, kontaktieren Sie uns über das ESET Security Forum oder über den den technischen Support von ESET.

Danksagung

ESET schätzt die Prinzipien der verantwortungsvollen Offenlegung innerhalb der Sicherheitsbranche und möchte dem Team der Zero Day Initiative von Trend Micro und insbesondere Michael DePlante (@izobashi), der dieses Problem gemeldet hat, unseren Dank aussprechen.

Versionshistorie

Version 1.0 (31. Januar 2022): Erste Version