La vulnerabilidad en ESET Anti-Virus podría permitir a los piratas informáticos obtener privilegios del sistema en Windows

La empresa líder en seguridad de Internet, ESET, ha lanzado urgentemente una serie de correcciones para abordar por completo la grave vulnerabilidad de seguridad local que afecta a muchos productos antivirus de ESET que se ejecutan en equipos con Windows. Windows 10 o Windows Server 2016 o posterior en todo el mundo.

Esta vulnerabilidad tiene un identificador de seguimiento CVE-2021-37852 y fue reportada por primera vez por Michael DePlante, un investigador de seguridad del equipo de Trend Micro. Según los resultados del análisis, esta se considera una vulnerabilidad extremadamente peligrosa, ya que permite al atacante tomar el control y escalar los privilegios de la cuenta NT AUTHORITYSYSTEM (el nivel más alto de privilegios en los sistemas Windows). Abusando de la interfaz de análisis antimalware de Windows (AMSI).

AMSI se introdujo por primera vez en Windows 10 Technical Preview en 2015. Es una herramienta diseñada para permitir que las aplicaciones y los servicios requieran un escaneo de caché de memoria de cualquier software antivirus importante instalado. instalado en el sistema.

Según ESET, el peligro surge solo si el atacante recibe privilegios SeImpersonatePrivilege, que generalmente se asignan a usuarios en el grupo de Administradores locales y cuentas de servicios locales. El dispositivo se presenta al cliente después de la autenticación. Esto "limitará el impacto de esta vulnerabilidad". Esto limita un poco el impacto de la vulnerabilidad en la práctica.

Sin embargo, la advertencia de ZDI establece que los atacantes solo necesitan "obtener la capacidad de ejecutar código con privilegios bajos en el sistema de destino" para abusar de la vulnerabilidad. Esto está en línea con la evaluación de gravedad CVSS de ESET y también muestra que la vulnerabilidad puede ser aprovechada por amenazas de privilegios bajos.

Figura 1. La vulnerabilidad encontrada en ESET Anti-Virus podría permitir a los piratas informáticos obtener privilegios del sistema de Windows

Productos ESET afectados

La lista de productos de software de ESET afectados por esta vulnerabilidad es bastante larga e incluye:

  1. ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security y ESET Smart Security Premium desde la versión 10.0.337.1 a la 15.0.18.0.
  2. ESET Endpoint Antivirus para Windows y ESET Endpoint Security para Windows desde la versión 6.6.2046.0 a la 9.0.2032.4.
  3. ESET Server Security para Microsoft Windows Server 8.0.12003.0 y 8.0.12003.1, ESET File Security para Microsoft Windows Server desde la versión 7.0.12014.0 hasta la 7.3.2006.0.
  4. ESET Server Security para Microsoft Azure desde la versión 7.0.12016.1002 a la 7.2.12004.1000.
  5. ESET Security para Microsoft SharePoint Server desde la versión 7.0.15008.0 a la 8.0.15004.0.
  6. ESET Mail Security para IBM Domino desde la versión 7.0.14008.0 a la 8.0.14004.0.
  7. ESET Mail Security para Microsoft Exchange Server desde la versión 7.0.10019 a la 8.0.10016.0.

También se recomienda a los usuarios de ESET File Security para Microsoft Azure que actualicen de inmediato ESET File Security para Microsoft Azure a la última versión disponible de ESET File Security para Microsoft Windows Server para resolver el problema.

ESET lanzó varias actualizaciones de seguridad entre el 8 de diciembre y el 31 de enero para abordar esta vulnerabilidad. Es un esfuerzo increíble. Afortunadamente, ESET (todavía) ha encontrado evidencia de que la vulnerabilidad se usa ampliamente.

"La superficie de ataque también se puede eliminar al deshabilitar la opción Habilitar escaneo avanzado a través de AMSI en la Configuración avanzada de ESET. Sin embargo, le recomendamos encarecidamente que actualice a la versión del producto. Repare el producto y solo aplique esta solución si hay algún problema por algún motivo, no se puede actualizar a la nueva versión por algunas razones importantes”, advierte ESET.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir
error: Content is protected !!