Resumen
ESET fue alertado acerca de dos vulnerabilidades en instaladores de sus productos para Windows que permitían a un usuario con sesión iniciada en el sistema realizar un ataque de escalamiento de privilegio haciendo un mal uso de las opciones de reparación y desinstalación. ESET lanzó una actualización automática de módulos para cubrir estas vulnerabilidades en aquellos productos afectados instalados y publicó instaladores modificados de los productos.
Detalles
CVE-2021-37851 permite a un usuario con una sesión iniciada en el sistema, realizar un ataque de escalamiento de privilegio aprovechándose de la funcionalidad de reparación del instalador para ejecutar un código malicioso con privilegios altos.
El puntaje de base de CVSS v3 para CVE-2021-37851 es 7.3 con el siguiente vector AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
CVE-2022-27167 afecta las opciones de reparación y desinstalación y podría conducir a la eliminación arbitraria de archivos.
El puntaje de base de CVSS v3 para CVE-2022-27167 es 7.1 con el siguiente vector AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H
Para una mayor comprensión, no existen exploits que aprovechan estas vulnerabilidades in the wild.
Solución
ESET lanzó una actualización del Módulo de exploración antivirus y antispyware para solventar estas vulnerabilidades en los productos ya instalados, que fueron distribuidas automáticamente. ESET también publicó versiones mejoradas de sus productos para Windows.
Debido a que los productos instalados reciben el parche a través de la actualización del Módulo de exploración antivirus y antispyware, los usuarios con productos ESET instalados no necesitan realizar ninguna acción adicional en relación a las mencionadas vulnerabilidades. Para nuevas instalaciones, recomendamos usar los últimos instaladores descargados desde el sitio web de ESET o del repositorio de ESET.
Los inconvenientes se resolvieron en los siguientes módulos y versiones:
- Módulo de exploración antivirus y antispyware 1587, lanzado el 31 de marzo de 2022, para productos en fase de Soporte completo y limitado, de acuerdo a la política de Fin de ciclo de vida de ESET. Tenga en cuenta que esta actualización de módulo es descargada en los productos automáticamente junto a las actualizaciones del Motor de detección.
- ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security Premium versiones 15.1.12.0
- ESET Endpoint Antivirus y ESET Endpoint Security desde las versiones 9.0.2046.0, 8.1.2050.0 y 8.0.2053.0 respectivamente
- ESET Server Security para Microsoft Windows Server desde la versión 9.0.12012.0
- ESET File Security para Microsoft Windows Server lanzado como “ESET Server Security para Microsoft Windows Server” desde la versión 8.0.12013.0
- ESET Mail Security para Microsoft Exchange Server desde la versión 8.0.10020.0
- ESET Mail Security para IBM Domino desde la versión 8.0.14011.0
- ESET Security para Microsoft SharePoint Server desde la versión 8.0.15009.0
Nota: a los usuarios de ESET Server Security para Microsoft Azure se les recomienda usar ESET Server Security para Microsoft Windows Server.
Programas y versiones afectadas
- ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security Premium versiones desde la versión 11.2
- ESET Endpoint Antivirus y ESET Endpoint Security desde la versión 6.0
- ESET Server Security para Microsoft Windows Server desde la versión 8.0
- ESET File Security para Microsoft Windows Server desde la versión 6.0
- ESET Server Security para Microsoft Azure desde la versión 6.0
- ESET Mail Security para Microsoft Exchange Server desde la versión 6.0
- ESET Mail Security para IBM Domino desde la versión 6.0
- ESET Security para Microsoft SharePoint Server desde la versión 6.0
Comentarios y soporte
Si desea comentarnos o tiene preguntas acerca de esta incidencia, contáctenos a través de ESET Security Forum, o mediante nuestro formulario de contacto.
Reconocimiento
EESET valora los principios de divulgación responsables y desea expresar sus agradecimientos a Brecht Snijders por reportar CVE-2022-27167.
Registro de versión
Versión 1.0 (9 de mayo de 2022): Versión inicial de este documento