[CA8223] Windows版ESET製品にローカル権限昇格の脆弱性が修正される

注意事項

このページはコンピュータによって翻訳されています。このページの「言語」の「英語」をクリックすると、原文が表示されます。ご不明な点がございましたら、お近くのサポートまでお問い合わせください。

ESET カスタマーアドバイザリー 2022-0004
2022年1月31日
深刻度:高

概要

Zero Day Initiative (ZDI) より、潜在的なローカル権限昇格の脆弱性に関する報告が ESET に提出されました。この脆弱性により、攻撃者は特定のケースにおいて AMSI スキャン機能を悪用できる可能性があります。ESETはこの問題を軽減し、以下に示す最新リリース版の使用を推奨します。

詳細

2021年11月18日、ESETはWindows向け製品にローカル権限昇格の潜在的な脆弱性があることを認識しました。Zero Day Initiative(ZDI)から提出されたレポートによると、SeImpersonatePrivilegeを取得できた攻撃者は、AMSIスキャン機能を悪用して、場合によってはNT AUTHORITYに昇格することができます。SeImpersonatePrivilegeは、デフォルトではローカルのAdministratorsグループとデバイスのLocal Serviceアカウントが利用可能であり、これらのアカウントはすでに高い特権を持っているため、この脆弱性の影響は限定的です。

ESETはこの報告を調査・検証し、この脆弱性の影響を受けない製品の新しいビルドを用意しました。

ESETが本脆弱性に対して予約したCVE IDはCVE-2021-37852で、CVSS v3ベクトルは以下の通りです:AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

私たちの知る限り、この脆弱性を利用した既存のエクスプロイトは存在しません。

対策

ESETでは、本脆弱性の影響を受けない以下の修正済み製品バージョンを用意しており、早急にアップグレードすることを推奨しています:

安全なバージョン

以下の ESET 製品のバージョン(およびそれ以降のバージョン)には修正プログラムが含まれており、ローカル特権が昇格される可能性のある脆弱性に対して安全であると考えられます。

  • ESET NOD32 Antivirus、ESET Internet Security、ESET Smart Security、ESET Smart Security Premium 15.0.19.0 (2021年12月8日リリース)

  • ESET Endpoint Antivirus for WindowsおよびESET Endpoint Security for Windows 9.0.2032.6および9.0.2032.7(2021年12月16日リリース)
  • ESET Endpoint Antivirus for Windows および ESET Endpoint Security for Windows 8.0.2028.3、8.0.2028.4、8.0.2039.3、8.0.2039.4、8.0.2044.3、8.0.2044.4、8.1.2031.3、8.1.2031.4、8.1.2037.9、8.1.2037.10(2022年1月25日リリース)
  • ESET Endpoint Antivirus for WindowsおよびESET Endpoint Security for Windows 7.3.2055.0および7.3.2055.1(2022年1月31日リリース)

  • ESET Server Security for Microsoft Windows Server 8.0.12010.0(2021年12月16日リリース)
  • ESET Server Security for Microsoft Windows Server 7.3.12008.0(2022年1月12日リリース)
  • ESET Server Security for Microsoft Windows Server 7.2.12005.0(2022年2月22日リリース)
  • ESET Server Security for Microsoft Windows Server 7.1.12012.0(2022年2月22日リリース)

  • ESET Security for Microsoft SharePoint Server 8.0.15006.0(2021年12月16日リリース)
  • ESET Security for Microsoft SharePoint Server 7.3.15002.0(2022年1月12日リリース)
  • ESET Security for Microsoft SharePoint Server 7.2.15004.0(2022年2月22日リリース)
  • ESET Security for Microsoft SharePoint Server 7.1.15006.0(2022年2月22日リリース)

  • ESET Mail Security for IBM Domino 8.0.14009.0(2021年12月16日リリース)
  • ESET Mail Security for IBM Domino 7.3.14003.0(2021年1月26日リリース)
  • ESET Mail Security for IBM Domino 7.2.14003.0(2021年3月1日リリース)
  • ESET Mail Security for IBM Domino 7.1.14009.0(2021年3月1日リリース)

  • ESET Mail Security for Microsoft Exchange Server 8.0.10018.0(2021年12月16日リリース)
  • ESET Mail Security for Microsoft Exchange Server 7.3.10014.0(2022年1月26日リリース)
  • ESET Mail Security for Microsoft Exchange Server 7.2.10009.0(2022年3月1日リリース)
  • ESET Mail Security for Microsoft Exchange Server 7.1.10016.0(2022年3月1日リリース)

ESET Server Security for Microsoft Azure のユーザーは、ESET File Security for Microsoft Azure を最新バージョンの ESET Server Security for Microsoft Windows Server にアップグレードすること をお勧めします。

攻撃対象領域をなくす別の方法

ESET 製品の「詳細設定」で「AMSI 経由の高度なスキャンを有効にする」オプションを無効にすることでも、攻撃サーフェスをなくすことができます。

ただし、ESET では、重要な理由によりアップグレードが不可能な場合にのみ、この回避策を適用し、製品のバージョンを固定したものにアップグレードすることを強く推奨しています。

影響を受けるプログラムとバージョン

以下の製品バージョンは、Windows 10 以降または Windows Server 2016 以降で動作している場合、脆弱性の影響を受けます:

  • ESET NOD32 アンチウイルス、ESET Internet Security、ESET Smart Security、ESET Smart Security Premium(バージョン 10.0.337.1 から 15.0.18.0 まで
  • ESET Endpoint Antivirus for Windows および ESET Endpoint Security for Windows: バージョン 6.6.2046.0 ~ 7.3.2041.0、およびバージョン 8.0.2028.0、8.0.2039.0、8.0.2044.0、8.1.2031.0、8.1.2037.2、9.0.2032.2
  • ESET Server Security for Microsoft Windows Server 8.0.12003.0 および 8.0.12003.1、ESET File Security for Microsoft Windows Server 7.0.12014.0 ~ 7.1.12010.0、7.2.12004.2、7.3.12002.0 ~ 7.3.12006.0
  • ESET Server Security for Microsoft Azure バージョン 7.0.12016.1002 ~ 7.2.12004.1000
  • ESET Security for Microsoft SharePoint Server(バージョン 7.0.15008.0~7.1.15005.0、7.2.15001.0~7.2.15002.0、7.3.15000.0~7.3.15001.0、8.0.15004.0
  • ESET Mail Security for IBM Domino バージョン 7.0.14008.0 ~ 7.1.14006.0、7.2.14001.0、7.3.14001、8.0.14004.0
  • ESET Mail Security for Microsoft Exchange Server:バージョン7.0.10019.0から7.1.10014.0、7.2.1007.0、7.3.10011.0から7.3.10012.0、8.0.15004.0まで

フィードバックとサポート

この問題に関するフィードバックやご質問は、ESET Security Forum または local ESET Technical Support までお問い合わせください。

謝辞

ESETは、セキュリティ業界における責任ある情報公開の原則を尊重し、トレンドマイクロのZero Day Initiativeチーム、特にこの問題を報告したMichael DePlante(@izobashi)に感謝の意を表します。

バージョンログ

バージョン3.0(2022年3月1日):ESET製品およびバージョン番号の追加に伴い、ドキュメントを更新しました。