[CA8223] Локальна уразливість до підвищення привілеїв виправлена в продуктах ESET для Windows

Консультація для клієнтів ESET 2022-0004
31 січня 2022 року
Серйозність: Висока

Короткий зміст

Організація Zero Day Initiative (ZDI) надіслала до компанії ESET звіт про потенційну локальну вразливість підвищення привілеїв. Вона потенційно дозволяє зловмиснику зловживати функцією сканування AMSI в певних випадках. Компанія ESET усунула цю проблему і рекомендує використовувати останні випущені версії продуктів, як описано нижче.

Подробиці

18 листопада 2021 року компанія ESET виявила потенційну вразливість локального підвищення привілеїв у своїх продуктах для Windows. Згідно зі звітом, представленим Zero Day Initiative (ZDI), зловмисник, який отримав SeImpersonatePrivilege, може зловживати функцією сканування AMSI для підвищення привілеїв до NT AUTHORITY\SYSTEM в деяких випадках. Привілей SeImpersonatePrivilege за замовчуванням доступний для локальної групи адміністраторів та облікових записів локальної служби пристрою, які вже мають високі привілеї і, таким чином, обмежують вплив цієї вразливості.

Компанія ESET дослідила та перевірила цей звіт, а також підготувала нові збірки своїх продуктів, які не вразливі до цієї вразливості.

CVE ID, зарезервований компанією ESET для цієї уразливості - CVE-2021-37852 з наступним вектором CVSS v3: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H.

Наскільки нам відомо, в дикій природі не існує експлойтів, що використовують цю уразливість.

Рішення

ESET підготувала наступні виправлені версії продуктів, які не схильні до вразливості, і рекомендує користувачам оновитися до них якомога швидше:

• Антивірус ESET NOD32, ESET Internet Security, ESET Smart Security та ESET Smart Security Premium 15.0.19.0 (випущено 8 грудня 2021 року)
  
  
• ESET Endpoint Antivirus для Windows та ESET Endpoint Security для Windows 9.0.2032.6 та 9.0.2032.7 (випущено 16 грудня 2021 року)
• ESET Endpoint Antivirus для Windows та ESET Endpoint Security для Windows 8.0.2028.3, 8.0.2028.4, 8.0.2039.3, 8.0.2039.4, 8.0.2044.3, 8.0.2044.4, 8.1.2031.3, 8.1.2031.4, 8.1.2037.9 та 8.1.2037.10 (випущено 25 січня 2022 року)
• ESET Endpoint Antivirus для Windows та ESET Endpoint Security для Windows 7.3.2055.0 і 7.3.2055.1 (випущено 31 січня 2022 року)
  
  
• ESET Server Security для Microsoft Windows Server 8.0.12010.0 (випущено 16 грудня 2021 року)
• ESET Server Security для Microsoft Windows Server 7.3.12008.0 (випущено 12 січня 2022 року)
• ESET Server Security для Microsoft Windows Server 7.2.12005.0 (випущено 22 лютого 2022 року)
• ESET Server Security для Microsoft Windows Server 7.1.12012.0 (випущено 22 лютого 2022 року)
  
  
• ESET Security для Microsoft SharePoint Server 8.0.15006.0 (випущено 16 грудня 2021 року)
• ESET Security для Microsoft SharePoint Server 7.3.15002.0 (випущено 12 січня 2022 року)
• ESET Security для Microsoft SharePoint Server 7.2.15004.0 (випущено 22 лютого 2022 року)
• ESET Security для Microsoft SharePoint Server 7.1.15006.0 (випущено 22 лютого 2022 року)
  
  
• ESET Mail Security для IBM Domino 8.0.14009.0 (випущено 16 грудня 2021 року)
• ESET Mail Security для IBM Domino 7.3.14003.0 (випущено 26 січня 2021 року)
• ESET Mail Security для IBM Domino 7.2.14003.0 (випущено 1 березня 2021 року)
• ESET Mail Security для IBM Domino 7.1.14009.0 (випущено 1 березня 2021 року)
  
  
• ESET Mail Security для Microsoft Exchange Server 8.0.10018.0 (випущено 16 грудня 2021 року)
• ESET Mail Security для Microsoft Exchange Server 7.3.10014.0 (випущено 26 січня 2022 року)
• ESET Mail Security для Microsoft Exchange Server 7.2.10009.0 (випущено 1 березня 2022 року)
• ESET Mail Security для Microsoft Exchange Server 7.1.10016.0 (випущено 1 березня 2022 року)

Користувачам ESET Server Security для Microsoft Azure рекомендується оновити ESET File Security для Microsoft Azure до останньої версії ESET Server Security для Microsoft Windows Server.

Постраждалі програми та версії

До вразливості схильні наступні версії продуктів, які працюють під управлінням Windows 10 і новіших версій або Windows Server 2016 і новіших версій:

• ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security та ESET Smart Security Premium від версії 10.0.337.1 до 15.0.18.0
• ESET Endpoint Antivirus для Windows та ESET Endpoint Security для Windows від версії 6.6.2046.0 до 7.3.2041.0 та версій 8.0.2028.0, 8.0.2039.0, 8.0.2044.0, 8.1.2031.0, 8.1.2037.2, 9.0.2032.2
• ESET Server Security для Microsoft Windows Server 8.0.12003.0 та 8.0.12003.1, ESET File Security для Microsoft Windows Server від версії 7.0.12014.0 до 7.1.12010.0, 7.2.12004.2, 7.3.12002.0 до 7.3.12006.0
• ESET Server Security для Microsoft Azure з версії 7.0.12016.1002 до 7.2.12004.1000
• ESET Security для Microsoft SharePoint Server з версій 7.0.15008.0 до 7.1.15005.0, 7.2.15001.0 до 7.2.15002.0, 7.3.15000.0 до 7.3.15001.0, 8.0.15004.0
• ESET Mail Security для IBM Domino з версій 7.0.14008.0 до 7.1.14006.0, 7.2.14001.0, 7.3.14001, 8.0.14004.0
• ESET Mail Security для Microsoft Exchange Server з версій 7.0.10019.0 до 7.1.10014.0, 7.2.1007.0, 7.3.10011.0 до 7.3.10012.0, 8.0.15004.0

Зворотній зв'язок та підтримка

Якщо у вас є відгуки або запитання щодо цієї проблеми, зв'яжіться з нами на форумі ESET Security Forum або за адресою локальна технічна підтримка ESET.

Подяка

Компанія ESET цінує принципи відповідального розкриття інформації в індустрії безпеки та висловлює подяку команді Zero Day Initiative компанії Trend Micro, зокрема Майклу ДеПланті (@izobashi), який повідомив про цю проблему.

Журнал версій

Версія 3.0 (1 березня 2022 року): Документ оновлено, додано нові продукти ESET і номери версій