[CA8223] A helyi jogosultság-növelési sebezhetőség kijavításra került az ESET windowsos termékekben

ESET Felhasználói Figyelmeztetés 2022-0004
2022 január 31.
Súlyosság: Magas

Összefoglaló

A Zero Day Initiative (ZDI) egy potenciális helyi jogosultság-növelést kihasználó sebezhetőségről szóló jelentést küldött az ESET-nek. Ez a sebezhetőség lehetővé teheti a támadó számára bizonyos esetekben az AMSI szkennelési funkció nem rendeltetésszerű használatát. Az ESET elhárította a problémát, és az alábbiak szerint a legfrissebb termékverziók használatát ajánlja.

Részletek

2021. november 18-án az ESET tudomására jutott egy potenciális sebezhetőség, amely a helyi jogosultságok növelését teszi lehetővé a Windowshoz készült termékeiben. A Zero Day Initiative (ZDI) által benyújtott jelentés szerint egy támadó, aki képes megszerezni az un. SeImpersonatePrivilege -et, visszaélhet az AMSI szkennelési funkcióval, hogy bizonyos esetekben NT AUTHORITY\SYSTEM jogosultsági szintet szerezhessen. A SeImpersonatePrivilege alapértelmezés szerint a helyi Rendszergazdák csoport és az eszköz helyi szolgáltatási fiókjai számára érhető el, amelyek már eleve magas jogosultságokkal rendelkeznek, és így korlátozzák ennek a sebezhetőségnek a hatását.

Az ESET megvizsgálta és ellenőrizte ezt a jelentést, és elkészítette termékeinek új buildjeit, amelyek nem érzékenyek erre a sebezhetőségre.

Az ESET által erre a sebezhetőségre lefoglalt CVE-azonosítója a CVE-2021-37852 az alábbi CVSS v3 vektorral: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H.

Legjobb tudomásunk szerint nincs olyan létező exploit, amely gyakorlatban kihasználná ezt a sebezhetőséget.

Megoldás

Az ESET javasolja, hogy a felhasználók minél előbb frissítsenek az alábbi javított termékverziókra, amelyek már nem érzékenyek a sebezhetőségre:

Biztonságos verziók

Az alábbiakban felsorolt ESET termékverziók (és a későbbi verzióik) már tartalmazzák a javítást, és biztonságosnak tekinthetők a potenciális helyi jogosultság-növelési sebezhetőséggel szemben.

  • ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security és ESET Smart Security 15.0.19.0 (kiadás dátuma: 2021. december 8.)
  • ESET Endpoint Antivirus for Windows és ESET Endpoint Security for Windows 9.0.2032.6 and 9.0.2032.7 (kiadás dátuma: 2021. december 16.)
  • ESET Endpoint Antivirus for Windows és ESET Endpoint Security for Windows 8.0.2028.3, 8.0.2028.4, 8.0.2039.3, 8.0.2039.4, 8.0.2044.3, 8.0.2044.4, 8.1.2031.3, 8.1.2031.4, 8.1.2037.9 és 8.1.2037.10 (kiadás dátuma: 2022. január 25.)
  • ESET Endpoint Antivirus for Windows és ESET Endpoint Security for Windows 7.3.2055.0 és 7.3.2055.1 (kiadás dátuma: 2022. január 31.)
  • ESET Server Security for Microsoft Windows Server 8.0.12010.0 (kiadás dátuma: 2021. december 16.)
  • ESET File Security for Microsoft Windows Server 7.3.12008.0 (kiadás dátuma: 2022. január 12.)
  • ESET Security for Microsoft SharePoint Server 8.0.15006.0 (kiadás dátuma: 2021. december 16.)
  • ESET Security for Microsoft SharePoint Server 7.3.15002.0 (kiadás dátuma: 2022. jnauár 12.)
  • ESET Mail Security for IBM Domino 8.0.14006.0 (kiadás dátuma: 2021. december 16.)
  • ESET Mail Security for IBM Domino 7.3.14003.0 (kiadás dátuma: 2021. január 26.)
  • ESET Mail Security for Microsoft Exchange Server 8.0.10018.0 (kiadás dátuma: 2021. december 16.)
  • ESET Mail Security for Microsoft Exchange Server 7.3.10014.0 (kiadás dátuma: 2022. január 26.)

Az ESET Server Security for Microsoft Azure felhasználói számára javasoljuk, hogy frissítsék az ESET File Security for Microsoft Azure-t az ESET Server Security for Microsoft Windows Server legújabb verziójára.

A támadási felület kiküszöbölésének alternatív módja

A támadási felület kiküszöbölhető az ESET termékek További beállításaiban az AMSI-n keresztüli speciális ellenőrzés engedélyezése opció letiltásával is.

Az ESET azonban erősen ajánlja, hogy végezzen frissítést egy javított termékverzióra, és csak akkor alkalmazza ezt a megoldást, ha a frissítés fontos okból nem lehetséges.

Érintett programok és verziók

A következő termékverziók érzékenyek a sebezhetőségre, ha azok a Windows 10 és újabb vagy a Windows Server 2016 és újabb rendszerei egyikén futnak:

  • ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security és ESET Smart Security Premium 10.0.337.1 - 15.0.18.0-ás verzióig
  • ESET Endpoint Antivirus for Windows és ESET Endpoint Security for Windows 6.6.2046.0 - 9.0.2032.4-es verzióig
  • ESET Server Security for Microsoft Windows Server 8.0.12003.0 és 8.0.12003.1, ESET File Security for Microsoft Windows Server 7.0.12014.0 - 7.3.12006.0-ás verzióig
  • ESET Server Security for Microsoft Azure 7.0.12016.1002 - 7.2.12004.1000-ás verzióig
  • ESET Security for Microsoft SharePoint Server 7.0.15008.0 - 8.0.15004.0-ás verzióig
  • ESET Mail Security for IBM Domino 7.0.14008.0 - 8.0.14004.0-ás verzióig
  • ESET Mail Security for Microsoft Exchange Server 7.0.10019 - 8.0.10016.0-ás verzióig

Visszajelzés és Támogatás

Ha visszajelzése vagy kérdése van ezzel a problémával kapcsolatban, jelezze felénk az ESET Security Fórumon, vagy vegye fel a kapcsolatot Terméktámogatásunkkal.

Elismerés

Az ESET nagyra értékeli a felelős nyilvánosságra hozatal elveit a biztonsági iparágon belül, és ezúton szeretnénk köszönetet mondani a Trend Micro Zero Day Initiative csapatának, különösen Michael DePlante-nak (@izobashi), aki jelentette ezt a problémát.

Verziószám napló

1.0-ás verzió (2022. január 31.): Ezen dokumentum kezdeti verziója