[CA8223] Sårbarhed i ESET-produkter til Windows med lokal eskalering af rettigheder rettet

ESET-kundevejledning 2022-0004
31. januar 2022
Alvorlighed: Høj

Sammenfatning

Zero Day Initiative (ZDI) har sendt en rapport til ESET om en potentiel lokal sårbarhed i forbindelse med eskalering af privilegier. Det giver potentielt en angriber mulighed for at misbruge AMSI-scanningsfunktionen i specifikke tilfælde. ESET har afhjulpet problemet og anbefaler at bruge de senest udgivne produktversioner, som beskrevet nedenfor.

Detaljerede oplysninger

Den 18. november 2021 blev ESET opmærksom på en potentiel sårbarhed med lokal eskalering af privilegier i sine produkter til Windows. Ifølge rapporten, der blev indsendt af Zero Day Initiative (ZDI), kan en angriber, der er i stand til at få SeImpersonatePrivilege, i nogle tilfælde misbruge AMSI-scanningsfunktionen til at hæve sig til NT AUTHORITY\SYSTEM. SeImpersonatePrivilege er som standard tilgængelig for den lokale administratorgruppe og enhedens lokale servicekonti, som allerede er meget privilegerede og dermed begrænser virkningen af denne sårbarhed.

ESET har undersøgt og verificeret denne rapport og forberedt nye builds af sine produkter, der ikke er modtagelige for denne sårbarhed.

CVE-id'et, som ESET har reserveret til denne sårbarhed, er CVE-2021-37852 med følgende CVSS v3-vektor: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A: H.

Så vidt vi ved, er der ingen eksisterende exploits, der udnytter denne sårbarhed i naturen.

Løsning

ESET har udarbejdet følgende faste produktversioner, der ikke er modtagelige for sårbarheden, og anbefaler, at brugerne opgraderer til dem så hurtigt som muligt:

• ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security og ESET Smart Security Premium 15.0.19.0 (udgivet den 8. december 2021)
  
  
• ESET Endpoint Antivirus for Windows og ESET Endpoint Security for Windows 9.0.2032.6 og 9.0.2032.7 (udgivet den 16. december 2021)
• ESET Endpoint Antivirus til Windows og ESET Endpoint Security til Windows 8.0.2028.3, 8.0.2028.4, 8.0.2039.3, 8.0.2039.4, 8.0.2044.3, 8.0.2044.4, 8.1.2031.3, 8.1.2031.4, 8.1.2037.9 og 8.1.2037.10 (udgivet den 25. januar 2022)
• ESET Endpoint Antivirus til Windows og ESET Endpoint Security til Windows 7.3.2055.0 og 7.3.2055.1 (udgivet den 31. januar 2022)
  
  
• ESET Server Security til Microsoft Windows Server 8.0.12010.0 (udgivet den 16. december 2021)
• ESET Server Security til Microsoft Windows Server 7.3.12008.0 (udgivet den 12. januar 2022)
• ESET Server Security til Microsoft Windows Server 7.2.12005.0 (udgivet den 22. februar 2022)
• ESET Server Security for Microsoft Windows Server 7.1.12012.0 (udgivet den 22. februar 2022)
  
  
• ESET Security for Microsoft SharePoint Server 8.0.15006.0 (udgivet den 16. december 2021)
• ESET Security for Microsoft SharePoint Server 7.3.15002.0 (udgivet den 12. januar 2022)
• ESET Security for Microsoft SharePoint Server 7.2.15004.0 (udgivet den 22. februar 2022)
• ESET Security for Microsoft SharePoint Server 7.1.15006.0 (udgivet den 22. februar 2022)
  
  
• ESET Mail Security for IBM Domino 8.0.14009.0 (udgivet den 16. december 2021)
• ESET Mail Security for IBM Domino 7.3.14003.0 (udgivet den 26. januar 2021)
• ESET Mail Security for IBM Domino 7.2.14003.0 (udgivet den 1. marts 2021)
• ESET Mail Security for IBM Domino 7.1.14009.0 (udgivet den 1. marts 2021)
  
  
• ESET Mail Security til Microsoft Exchange Server 8.0.10018.0 (udgivet den 16. december 2021)
• ESET Mail Security for Microsoft Exchange Server 7.3.10014.0 (udgivet den 26. januar 2022)
• ESET Mail Security for Microsoft Exchange Server 7.2.10009.0 (udgivet den 1. marts 2022)
• ESET Mail Security for Microsoft Exchange Server 7.1.10016.0 (udgivet den 1. marts 2022)

Brugere af ESET Server Security for Microsoft Azure rådes til at opgradere ESET File Security for Microsoft Azure til den nyeste version af ESET Server Security for Microsoft Windows Server.

Berørte programmer og versioner

Følgende produktversioner er modtagelige for sårbarheden, når de kører på Windows 10 og nyere eller Windows Server 2016 og nyere:

• ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security og ESET Smart Security Premium fra version 10.0.337.1 til 15.0.18.0
• ESET Endpoint Antivirus til Windows og ESET Endpoint Security til Windows fra version 6.6.2046.0 til 7.3.2041.0 og version 8.0.2028.0, 8.0.2039.0, 8.0.2044.0, 8.1.2031.0, 8.1.2037.2, 9.0.2032.2
• ESET Server Security for Microsoft Windows Server 8.0.12003.0 og 8.0.12003.1, ESET File Security for Microsoft Windows Server fra version 7.0.12014.0 til 7.1.12010.0, 7.2.12004.2, 7.3.12002.0 til 7.3.12006.0
• ESET Server Security for Microsoft Azure fra version 7.0.12016.1002 til 7.2.12004.1000
• ESET Security for Microsoft SharePoint Server fra version 7.0.15008.0 til 7.1.15005.0, 7.2.15001.0 til 7.2.15002.0, 7.3.15000.0 til 7.3.15001.0, 8.0.15004.0
• ESET Mail Security for IBM Domino fra version 7.0.14008.0 til 7.1.14006.0, 7.2.14001.0, 7.3.14001, 8.0.14004.0
• ESET Mail Security for Microsoft Exchange Server fra version 7.0.10019.0 til 7.1.10014.0, 7.2.1007.0, 7.3.10011.0 til 7.3.10012.0, 8.0.15004.0

Feedback og support

Hvis du har feedback eller spørgsmål om dette problem, kan du kontakte os via ESET Security Forum eller via local ESET Technical Support.

Anerkendelse

ESET værdsætter principperne om ansvarlig offentliggørelse inden for sikkerhedsbranchen og vil gerne udtrykke vores tak til Trend Micros Zero Day Initiative-team og især Michael DePlante (@izobashi), der rapporterede dette problem.

Versionslog

Version 3.0 (1. marts 2022): Dokumentet er opdateret med flere ESET-produkter og versionsnumre