Sammenfatning
ESET-kundevejledning 2017-0006
23. marts 2017
Alvorlighed: Lav
ESET er blevet informeret om resultaterne i rapporter fra Cybellum, som beskriver en teknik kaldet DoubleAgent, der bruges til at injicere kode og opretholde vedholdenhed på en maskine (dvs. automatisk kørsel) ved at misbruge Microsofts Application Verifier's udokumenterede funktion.
De fleste ESET-processer var allerede immune over for sårbarheden; ESET tilføjede beskyttelse for yderligere processer, der kunne bruges til at udnytte denne sårbarhed (den ekstra beskyttelse distribueres automatisk til alle brugere ved hjælp af en modulopdatering). Derudover er administratorrettigheder nødvendige for at administrere dette angreb, hvilket i høj grad reducerer sandsynligheden for det.
Rådgivning til kunder
Detaljerede oplysninger
Ifølge rapporterne er det muligt at redigere poster i registreringsdatabasen for processer, der bruger Microsofts Application Verifier-værdier til at indlæse et hvilket som helst bibliotek fra disken, hvilket giver mulighed for at indlæse et ondsindet bibliotek, der får tilladelser fra offerprocessen. (Omfanget af processerne er ikke begrænset til ESET-processer, og det er heller ikke begrænset til processer med AV-produkter)
Det skal dog understreges, at alvorligheden af denne sårbarhed anses for at være meget lav, da angriberne skal have administratorrettigheder på offerets maskine for at redigere poster i registreringsdatabasen.
Løsning
ESET implementerer gradvist yderligere sikkerhedslag, der forhindrer angreb på operativsystemet eller på selve sikkerhedsproduktet. I alle ESET-produkter til Windows siden version 4 er vores selvforsvarsfunktion aktiveret som standard, denne funktion forhindrer ændring af registreringsdatabasenøgler for vores nøgleprocesser, og den seneste opdatering til HIPS-modul version 1273, der blev udgivet den 23. marts 2017, tilføjede det samme beskyttelsesniveau for yderligere ESET-processer, som kunne misbruges til at indlæse ondsindede biblioteker. Opdateringen af modulet distribueres automatisk til alle brugere, så det er ikke nødvendigt at downloade eller installere noget.
Bemærk: Det er nødvendigt at genstarte computeren ved første installation af dit Windows ESET-produkt, for at selvforsvarsbeskyttelsen kan integreres fuldt ud.
Derudover gør ESET's hovedproces ekrn.exe brug af såkaldt Protected Service i den seneste version 10 af ESET's forbrugerprodukter på Windows 8.1 og nyere, og derfor er det ikke muligt at udnytte den på denne måde på de nævnte versioner af Windows. Det samme beskyttelsesniveau kommer til Endpoint-linjen af vores produkter i den kommende version.
Feedback og support
Hvis du har feedback eller spørgsmål om dette problem, bedes du kontakte os via ESET Security Forum eller via den lokale ESET-support.
Versionslog
Version 1.0 (23. marts 2017): Første version af dette dokument
