[CA8223] Vulnerabilidade de escalonamento de privilégio local corrigida em produtos ESET para Windows

ESET Consultoria ao cliente 2022-0004
31 de Janeiro de 2022
Gravidade: Alta

Sumário

Um relatório de uma potencial vulnerabilidade de escalonamento de privilégio local foi enviado à ESET pela Zero Day Initiative (ZDI). Ele potencialmente permite que um invasor faça mau uso do recurso de verificação AMSI em casos específicos. A ESET atenuou o problema e recomenda usar as versões de produto lançadas mais recentemente, conforme detalhado abaixo.

Detalhes

Em 18 de novembro de 2021, a ESET tomou conhecimento de uma potencial vulnerabilidade de escalonamento de privilégios locais em seus produtos para Windows. De acordo com o relatório, enviado pela Zero Day Initiative (ZDI), um invasor capaz de obter  SeImpersonatePrivilege pode utilizar de forma mal intencionada o recurso de verificação AMSI para elevar para NT AUTHORITY\SYSTEM em alguns casos. Por padrão, o SeImpersonatePrivilege está disponível para o grupo de Administradores local e as contas de Serviço Local do dispositivo, que já são altamente privilegiadas e, portanto, limitam o impacto dessa vulnerabilidade. 

A ESET investigou e verificou este relatório e preparou novas compilações de seus produtos que não são suscetíveis a essa vulnerabilidade.

O ID CVE reservado pela ESET para esta vulnerabilidade é CVE-2021-37852 com o seguinte vetor CVSS v3: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H.

Até onde sabemos, não há explorações existentes que aproveitem essa vulnerabilidade de forma geral.

Solução

A ESET preparou as seguintes versões de produtos fixos que não são suscetíveis à vulnerabilidade e recomenda-se que os usuários atualizem para elas o mais rápido possível:

  • ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security e ESET Smart Security 15.0.19.0 (lançado em 8 de Dezembro de 2021)
  • ESET Endpoint Antivirus para Windows e ESET Endpoint Security para Windows 9.0.2032.6 and 9.0.2032.7 (lançado em 16 de Dezembro de 2021)
  • ESET Endpoint Antivirus para Windows e ESET Endpoint Security para Windows 8.0.2028.3, 8.0.2028.4, 8.0.2039.3, 8.0.2039.4, 8.0.2044.3, 8.0.2044.4, 8.1.2031.3, 8.1.2031.4, 8.1.2037.9 e 8.1.2037.10 (lançado em 25 de Janeiro de 2022)
  • ESET Endpoint Antivirus para Windows e ESET Endpoint Security para Windows 7.3.2055.0 e 7.3.2055.1 (lançado em 31 de Janeiro de 2022)
  • ESET Server Security para Microsoft Windows Server 8.0.12010.0 (lançado em 16 de Dezembro de 2021)
  • ESET File Security para Microsoft Windows Server 7.3.12008.0 (lançado em 12 de Janeiro de 2022)
  • ESET Security para Microsoft SharePoint Server 8.0.15006.0 (lançado em 16 de Dezembro de 2021)
  • ESET Security para Microsoft SharePoint Server 7.3.15002.0 (lançado em 12 de Janeiro de 2022)
  • ESET Mail Security para IBM Domino 8.0.14006.0 (lançado em 16 de Dezembro de 2021)
  • ESET Mail Security para IBM Domino 7.3.14003.0 (lançado em 25 de Janeiro de 2021)
  • ESET Mail Security para Microsoft Exchange Server 8.0.10018.0 (lançado em 16 de Dezembro de 2021)
  • ESET Mail Security para Microsoft Exchange Server 7.3.10014.0 (lançado em 26 de Janeiro de 2022)

Os usuários do ESET Server Security para Microsoft Azure são aconselhados a  atualizar o ESET File Security para Microsoft Azure para a versão mais recente do ESET Server Security para Microsoft Windows Server.

Uma maneira alternativa de eliminar a superfície de ataque

A superfície de ataque também pode ser eliminada desativando a opção Ativar verificação avançada via AMSI na configuração avançada dos produtos ESET.

No entanto, a ESET recomenda fortemente realizar uma atualização para uma versão fixa do produto e aplicar esta solução alternativa apenas quando a atualização não for possível por um motivo importante.

Programas e versões afetados

As seguintes versões do produto são suscetíveis à vulnerabilidade ao serem executadas no Windows 10 e posterior ou no Windows Server 2016 e posterior:

  • ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security and ESET Smart Security Premium da versão 10.0.337.1 até 15.0.18.0
  • ESET Endpoint Antivirus para Windows e ESET Endpoint Security para Windows da versão 6.6.2046.0 até 9.0.2032.4
  • ESET Server Security para Microsoft Windows Server 8.0.12003.0 and 8.0.12003.1, ESET File Security para Microsoft Windows Server da versão 7.0.12014.0 até 7.3.12006.0
  • ESET Server Security para Microsoft Azure da versão 7.0.12016.1002 até 7.2.12004.1000
  • ESET Security para Microsoft SharePoint Server da versão 7.0.15008.0 até 8.0.15004.0
  • ESET Mail Security para IBM Domino da versão 7.0.14008.0 até 8.0.14004.0
  • ESET Mail Security para Microsoft Exchange Server da versão 7.0.10019 até 8.0.10016.0

Comentários e Suporte

Se você tiver comentários ou perguntas sobre este problema, entre em contato conosco usando o Fórum ESET Security, ou pelo Suporte Téncino local da ESET.

Reconhecimento

A ESET valoriza os princípios de divulgação responsável no setor de segurança e gostaria de expressar nossos agradecimentos à equipe Zero Day Initiative da Trend Micro e, especificamente, Michael DePlante (@izobashi) que relatou este problema.

Registro de versão

Versão 1.0 (31 de Janeiro de 2022): Versão inicial deste documento