[CA8223] Vulnerabilidad de privilegio local de escalamiento solucionada en los productos ESET para Windows

ESET Customer Advisory 2022-0004
31 de enero de 2022
Importancia: Alta

Resumen

ESET recibió un reporte acerca de una potencial vulnerabilidad de privilegio local de escalamiento por parte de Zero Day Initiative (ZDI). La vulnerabilidad permite potencialmente que un atacante haga mal uso de la funcionalidad de exploración AMSI en casos específicos. ESET mitigó el inconveniente y recomienda utilizar la versión más reciente que hemos lanzado, como se detalla más abajo. 

Detalles

El 18 de noviembre de 2021, ESET se puso al tanto de una potencial vulnerabilidad de privilegio local de escalamiento en sus productos para Windows. De acuerdo al informe, enviado por Zero Day Initiative (ZDI), un atacante que es capaz de obtener SeImpersonatePrivilege podría hacer mal uso de la funcionalidad de exploración AMSI para elevar privilegios a NT AUTHORITY\SYSTEM en algunos casos. El privilegio SeImpersonatePrivilege se encuentra disponible de modo predeterminado para el grupo de Administradores locales y en las cuentas de Servicio local del dispositivo, que cuentan con privilegios altos y por ende limitan el impacto de esta vulnerabilidad.

ESET investigó y verificó el reporte y preparó nuevas versiones de sus productos que no son susceptibles a esta vulnerabilidad.

El ID del CVE reservado por ESET para esta vulnerabilidad es CVE-2021-37852 con el siguiente vector CVSS v3: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H.

Para su mayor comprensión, no existen exploits que puedan tomar ventaja de esta vulnerabilidad entre las amenazas actualmente activas y extendidas.

Solución

ESET preparó las siguientes versiones mejoradas que no son susceptibles a esta vulnerabilidad y recomienda a sus susuarios que actualicen lo más pronto posible:

  • ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security y ESET Smart Security 15.0.19.0 (lanzada el 8 de diciembre de 2021)
  • ESET Endpoint Antivirus para Windows y ESET Endpoint Security para Windows 9.0.2032.6 y 9.0.2032.7 (lanzada el 16 de diciembre de 2021)
  • ESET Endpoint Antivirus para Windows y ESET Endpoint Security para Windows 8.0.2028.3, 8.0.2028.4, 8.0.2039.3, 8.0.2039.4, 8.0.2044.3, 8.0.2044.4, 8.1.2031.3, 8.1.2031.4, 8.1.2037.9 y 8.1.2037.10 (lanzada el 25 de enero de 2022)
  • ESET Endpoint Antivirus para Windows y ESET Endpoint Security para Windows 7.3.2055.0 y 7.3.2055.1 (lanzada el 31 de enero 2022)
  • ESET Server Security para Microsoft Windows Server 8.0.12010.0 (lanzada el 16 de diciembre de 2021)
  • ESET File Security para Microsoft Windows Server 7.3.12008.0 (lanzada el 12 de enero de 2022)
  • ESET Security para Microsoft SharePoint Server 8.0.15006.0 (lanzada el 16 de diciembre de 2021) 
  • ESET Security para Microsoft SharePoint Server 7.3.15002.0 (lanzada el 12 de enero de 2022) 
  • ESET Mail Security para IBM Domino 8.0.14006.0 (lanzada el 16 de diciembre de 2021) 
  • ESET Mail Security para IBM Domino 7.3.14003.0 (lanzada el 26 de enero de 2022) 
  • ESET Mail Security para Microsoft Exchange Server 8.0.10018.0 (lanzada el 16 de diciembre de 2021) 
  • ESET Mail Security para Microsoft Exchange Server 7.3.10014.0 (lanzada el 26 de enero de 2022)

A los usuarios de ESET Server Security para Microsoft Azure se les recomienda actualizar ESET File Security para Microsoft Azure hacia la última versión de ESET Server Security para Microsoft Windows Server

Una alternativa para eliminar la superficie de ataque

La superficie de ataque también puede ser eliminada mediante la deshabilitación de la opción Activar exploración avanzada mediante AMSI en la configuración avanzada de los productos ESET.

Sin embargo, ESET recomienda realizar la actualización hacia una versión mejorada y solo aplicar esta alternativa cuando actualizar no resulte posible debido a una razón de peso.

Programas y versiones afectadas

Las siguientes versiones de producto son susceptibles a esta vulnerabilidad cuando se ejecutan en Windows 10 o versiones superiores o en Windows Server 2016 y versiones superiores:

  • ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security y ESET Smart Security Premium desde la versión 10.0.337.1 hasta la versión 15.0.18.0
  • ESET Endpoint Antivirus para Windows y ESET Endpoint Security para Windows desde la versión 6.6.2046.0 hasta la versión 9.0.2032.4
  • ESET Server Security para Microsoft Windows Server 8.0.12003.0 y 8.0.12003.1, ESET File Security para Microsoft Windows Server desde la versión 7.0.12014.0 hasta la versión 7.3.12006.0
  • ESET Server Security para Microsoft Azure desde la versión 7.0.12016.1002 hasta la versión 7.2.12004.1000
  • ESET Security para Microsoft SharePoint Server desde la versión 7.0.15008.0 hasta la versión 8.0.15004.0
  • ESET Mail Security para IBM Domino desde la versión 7.0.14008.0 hasta la versión 8.0.14004.0
  • ESET Mail Security para Microsoft Exchange Server desde la versión 7.0.10019 hasta la versión  8.0.10016.0

Feedback y soporte

Si desea comentarnos o tiene preguntas acerca de esta incidencia, contáctenos a través de ESET Security Forum, o mediante nuestro formulario de contacto

Reconocimiento

ESET valora los principios de divulgación responsables y desea expresar sus agradecimientos al equipo de Zero Day Initiative de Trend Micro y especialmente a Michael DePlante (@izobashi), quien reportó el incidente.

Registro de versión

Versión 1.0 (31 de enero de 2022): Versión inicial de este documento

Asistencia adicional