Összefoglalás
Az ESET bejelentést kapott a windowsos termékeiben található, idézőjelek nélküli elérési útvonalat érintő jogosultsági sebezhetőségről. Amennyiben minden technikai feltétel adott, az ESET az érintett gépeken a javított termékverziókat automatikusan távolról telepíti. Abban az esetben, ha erre nincs lehetőség, kérjük, frissítse manuálisan az érintett termékeket a javított csomagokkal, amelyek letölthetők weboldalunkról és az ESET Repository-ból (adattárból).
Részletek
Az ESET-hez beérkezett jelentés egy lehetséges, idézőjel nélküli elérési útvonal-jogosultsági támadásról számolt be, amely kihasználhatta az ESET Forwarder (efwd.exe) szolgáltatás elérési útvonalát, amely a rendszerleíró adatbázisban idézőjelek nélkül került tárolásra. Ez lehetővé tehette a támadó számára, hogy egy preparált programot a merevlemez egy adott helyére elhelyezzen és az indításkor a szolgáltatást futtató felhasználó jogosultságaival futtassa. Jelen esetben ez a felhasználó az NT AUTHORITY\NetworkService volt, ezért jogoultságnövelés nem történt. Ez a támadás csak közvetlenül egy korábbi ESET-termékverzióról történő frissítés után volt lehetséges, a termék rendszeres használata során vagy a termék friss telepítése után nem.
Az ESET kiiktatta ezt a lehetséges támadási vektort és elkészítette termékeinek új buildjeit, amelyek már nem érzékenyek erre a sebezhetőségre.
A sebezhetőség fenntartott CVE-azonosítója CVE-2023-7043. Az ESET a sebezhetőség súlyosságát alacsonyra értékelte, a CVSS v3.1 alappontszáma 3,3, a következő vektorral: AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
Tudomásunk szerint egyetlen létező exploit sem használja ki ezt a sebezhetőséget a való életben.
Megoldás
Az ESET elkészítette az otthoni, a vállalati és a szerver termékeinek javított buildjeit, ezért javasoljuk, hogy végezzék el a szükséges frissítéseket, vagy ütemezzék be azokat. A javított buildek elérhetőek a www.eset.com/hu weboldal Letöltés részén vagy az ESET Repository-n (adattáron) keresztül.
A probléma az alábbi buildekben került elhárításra:
- ESET Endpoint Security és ESET Endpoint Antivirus 11.0.2032.x vagy újabb verziója
- ESET NOD32 Antivirus, ESET Internet Security és ESET Smart Security Premium 17.0.15.0 vagy újabb verziója
- ESET Mail Security for Microsoft Exchange Server 10.1.10014.0 vagy újabb verziója
Érintett termékek és programverziók
- ESET Endpoint Security és ESET Endpoint Antivirus 10.1.2046.x – 10.1.2063.x
- ESET NOD32 Antivirus, ESET Internet Security és ESET Smart Security Premium 16.1.14.0 – 16.2.15.0
- ESET Mail Security for Microsoft Exchange Server 10.1.10012.0
Visszajelzés és Támogatás
Ha visszajelzést szeretne küldeni vagy kérdése merülne fel a témát illetően, kérjük, vegye fel velünk a kapcsolatot az ESET Security Fórumon vagy az ESET Technikai Terméktámogatásán keresztül.
Elismerés
Az ESET nagyra értékeli a felelős nyilvánosságra hozatal elveit a biztonsági iparágon belül, ezért ezúton szeretnénk köszönetet mondani Tom Ussher-nek.
Verziótörténet
1.0-ás verzió (2024. január 26.): A dokumentum első verziója