[CA8223] [CA8223] Vulnérabilité d'élévation des privilèges locaux corrigée dans les produits ESET pour Windows

ESET Customer Advisory 2022-0004
31 janvier 2022
Sévérité : Haute

Sommaire

Un rapport sur une vulnérabilité potentielle d'escalade de privilèges locaux a été soumis à ESET par Zero Day Initiative (ZDI). Cela permet potentiellement à un attaquant d'utiliser à mauvais escient la fonction d'analyse AMSI dans des cas spécifiques. ESET a atténué le problème et recommande d'utiliser les versions de produit les plus récentes, comme détaillé ci-dessous.

Détails

Le 18 novembre 2021, ESET a pris connaissance d'une vulnérabilité potentielle d'élévation locale des privilèges dans ses produits pour Windows. Selon le rapport soumis par la Zero Day Initiative (ZDI), un attaquant capable d'obtenir SeImpersonatePrivilege peut abuser de la fonction d'analyse AMSI pour élever à NT AUTHORITY\SYSTEM dans certains cas. Le SeImpersonatePrivilege est par défaut disponible pour le groupe Administrateurs local et les comptes de service locaux de l'appareil, qui sont déjà hautement privilégiés et limitent ainsi l'impact de cette vulnérabilité.

ESET a enquêté et vérifié ce rapport et préparé de nouvelles versions de ses produits qui ne sont pas sensibles à cette vulnérabilité.

L'ID CVE réservé par ESET pour cette vulnérabilité est CVE-2021-37852 avec le vecteur CVSS v3 suivant : AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H.

À notre connaissance, il n'existe aucun exploit existant qui tire parti de cette vulnérabilité à l'état sauvage.

Solution

ESET a préparé les versions de produit corrigées suivantes qui ne sont pas sensibles à la vulnérabilité et recommande aux utilisateurs de les mettre à niveau dès que possible :

  • ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security et ESET Smart Security 15.0.19.0 (released on December 8, 2021)
  • ESET Endpoint Antivirus for Windows et ESET Endpoint Security for Windows 9.0.2032.6 and 9.0.2032.7 (released on December 16, 2021)
  • ESET Endpoint Antivirus for Windows et ESET Endpoint Security for Windows 8.0.2028.3, 8.0.2028.4, 8.0.2039.3, 8.0.2039.4, 8.0.2044.3, 8.0.2044.4, 8.1.2031.3, 8.1.2031.4, 8.1.2037.9 et 8.1.2037.10 (released on January 25, 2022)
  • ESET Endpoint Antivirus for Windows et ESET Endpoint Security for Windows 7.3.2055.0 et 7.3.2055.1 (released on January 31, 2022)
  • ESET Server Security for Microsoft Windows Server 8.0.12010.0 (released on December 16, 2021)
  • ESET File Security for Microsoft Windows Server 7.3.12008.0 (released on January 12, 2022)
  • ESET Security for Microsoft SharePoint Server 8.0.15006.0 (released on December 16, 2021)
  • ESET Security for Microsoft SharePoint Server 7.3.15002.0 (released on January 12, 2022)
  • ESET Mail Security for IBM Domino 8.0.14006.0 (released on December 16, 2021)
  • ESET Mail Security for IBM Domino 7.3.14003.0 (released on January 26, 2021)
  • ESET Mail Security for Microsoft Exchange Server 8.0.10018.0 (released on December 16, 2021)
  • ESET Mail Security for Microsoft Exchange Server 7.3.10014.0 (released on January 26, 2022)

Les utilisateurs d'ESET Server Security pour Microsoft Azure sont invités à mettre à niveau ESET File Security pour Microsoft Azure vers la dernière version dESET.

Une autre façon d'éliminer la surface d'attaque

La surface d'attaque peut également être éliminée en désactivant l'option Activer l'analyse avancée via AMSI dans la configuration avancée des produits ESET.

Cependant, ESET recommande fortement d'effectuer une mise à niveau vers une version de produit fixe et d'appliquer cette solution de contournement uniquement lorsque la mise à niveau n'est pas possible pour une raison importante.

Programmes et versions concernés

Les versions de produit suivantes sont sensibles à la vulnérabilité lorsqu'elles sont exécutées sur Windows 10 et versions ultérieures ou Windows Server 2016 et versions ultérieures :

  • ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security et ESET Smart Security Premium from version 10.0.337.1 to 15.0.18.0
  • ESET Endpoint Antivirus for Windows and ESET Endpoint Security for Windows from version 6.6.2046.0 to 9.0.2032.4
  • ESET Server Security for Microsoft Windows Server 8.0.12003.0 et 8.0.12003.1, ESET File Security for Microsoft Windows Server from version 7.0.12014.0 to 7.3.12006.0
  • ESET Server Security for Microsoft Azure from version 7.0.12016.1002 to 7.2.12004.1000
  • ESET Security for Microsoft SharePoint Server from version 7.0.15008.0 to 8.0.15004.0
  • ESET Mail Security for IBM Domino from version 7.0.14008.0 to 8.0.14004.0
  • ESET Mail Security for Microsoft Exchange Server from version 7.0.10019 to 8.0.10016.0

Reconnaissance

ESET apprécie les principes de divulgation responsable au sein de l'industrie de la sécurité et souhaite exprimer ses remerciements à l'équipe Zero Day Initiative de Trend Micro, et en particulier à Michael DePlante (@izobashi) qui a signalé ce problème.

Version log

Version 1.0 (January 31, 2022): Initial version of this document

Assistance supplémentaire