Уязвимость в продуктах ESET позволяет получить привилегии системы на Windows

Словацкий производитель решений безопасности ESET выпустил исправление для опасной уязвимости повышения привилегий, затрагивающей множество продуктов для Windows 10 и более поздних версий и Windows Server 2016 и более поздних версий.

Уязвимость ( CVE-2021-37852 ) была обнаружена исследователем безопасности Майклом Депланте (Michael DePlante) в рамках Trend Micro Zero Day Initiative (ZDI). С ее помощью злоумышленник может повысить свои привилегии до NT AUTHORITY\SYSTEM (наивысший уровень привилегий в Windows) с помощью Windows Antimalware Scan Interface (AMSI).

AMSI, впервые представленный в Windows 10 Technical Preview в 2015 году, позволяет приложениям и сервисам запрашивать сканирования буфера памяти у любого крупного антивирусного продукта, установленного на системе.

Как сообщает ESET, этого можно достигнуть только после получения прав SeImpersonatePrivilege, обычно предоставляемым локальной группе администраторов и локальной учетной записи Service на устройстве для имитации клиента после авторизации, что должно «ограничить влияние уязвимости».

Однако, согласно уведомлению ZDI, злоумышленникам достаточно лишь «получить возможность выполнять код с низкими привилегиями на целевой системе».

Уязвимость затрагивает следующие продукты ESET:

• ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security, ESET Smart Security Premium версии 10.0.337.1 - 15.0.18.0;

• ESET Endpoint Antivirus for Windows и ESET Endpoint Security for Windows версии 6.6.2046.0 - 9.0.2032.4;

• ESET Server Security for Microsoft Windows Server 8.0.12003.0 и 8.0.12003.1, ESET File Security for Microsoft Windows Server версии 7.0.12014.0 - 7.3.12006.0;

• ESET Server Security for Microsoft Azure версии 7.0.12016.1002 - 7.2.12004.1000;

• ESET Security for Microsoft SharePoint Server версии 7.0.15008.0 - 8.0.15004.0;

• ESET Mail Security for IBM Domino версии 7.0.14008.0 - 8.0.14004.0;

• ESET Mail Security for Microsoft Exchange Server версии 7.0.10019 - 8.0.10016.0.

Пользователям ESET Server Security for Microsoft Azure также рекомендуется незамедлительно обновить ESET File Security for Microsoft Azure до последней доступной версии ESET Server Security for Microsoft Windows Server.