❤️ Adquiere tu membresía:  Contenidos protegidos, manuales y videos >> Ver Más

Vulnerabilidad en el antivirus ESET permite obtener privilegios de SYSTEM en Windows

La empresa de seguridad de Internet eslovaca ESET lanzó correcciones de seguridad para abordar una vulnerabilidad de escalada de privilegios locales de alta gravedad. La vulnerabilidad afecta a múltiples productos en sistemas que ejecutan Windows 10 y versiones posteriores o Windows Server 2016 y versiones posteriores.

La vulnerabilidad (CVE-2021-37852) fue reportada por Michael DePlante de Zero Day Initiative (ZDI) de Trend Micro. Esta permite a los atacantes aumentar los privilegios a los derechos de cuenta  de NT AUTHORITY\SYSTEM (el nivel más alto de privilegios en un sistema Windows) usando Windows Antimalware Scan Interface (AMSI).

AMSI se introdujo por primera vez con Windows 10 Technical Preview en 2015. Este  permite que las aplicaciones y los servicios soliciten análisis del búfer de memoria de cualquier producto antivirus importante instalado en el sistema.

Según ESET, esto solo se puede lograr después de que los atacantes obtengan  los derechos SeImpersonatePrivilege, normalmente asignados a los usuarios en el grupo de administradores locales y la cuenta de servicio local del dispositivo. Esto para hacerse pasar por un cliente después de la autenticación, lo que debería “limitar el impacto de esta vulnerabilidad”.

Sin embargo, el aviso de ZDI dice que los atacantes solo deben “obtener la capacidad de ejecutar código con pocos privilegios en el sistema de destino”, lo que coincide con la calificación de gravedad CVSS de ESET. En otras palabras, los actores de amenazas con pocos privilegios pueden explotar la vulnerabilidad.

Si bien ESET dijo que se enteró de la vulnerabilidad el 18 de noviembre, un cronograma de divulgación disponible en el aviso de ZDI revela que la vulnerabilidad se reportó cuatro meses antes. Es decir, el 18 de junio de 2021.

Productos de ESET afectados

La lista de productos afectados por esta vulnerabilidad es bastante larga e incluye:

  • Antivirus ESET NOD32 , ESET Internet Security, ESET Smart Security y ESET Smart Security Premium de la versión 10.0.337.1 a la 15.0.18.0
  • Antivirus ESET Endpoint para Windows y ESET Endpoint Security para Windows desde la versión 6.6.2046.0 a la 9.0.2032.4
  • ESET Server Security para Microsoft Windows Server 8.0.12003.0 y 8.0.12003.1, ESET File Security para Microsoft Windows Server desde la versión 7.0.12014.0 hasta la 7.3.12006.0
  • ESET Server Security para Microsoft Azure desde la versión 7.0.12016.1002 hasta la 7.2.12004.1000
  • Entre otros

El fabricante de antivirus lanzó varias actualizaciones de seguridad entre el 8 de diciembre y el 31 de enero  para abordar esta vulnerabilidad. 

Afortunadamente, ESET no encontró evidencia de exploits diseñados para atacar productos afectados por este error de seguridad. 

“La superficie de ataque también se puede eliminar al deshabilitar la opción Habilitar escaneo avanzado a través de AMSI en la Configuración avanzada de los productos ESET. 

Sin embargo, ESET recomienda encarecidamente realizar una actualización a una versión reparada del producto. Es decir, solo se debe aplicar esta solución alternativa cuando la actualización no sea posible por una razón importante”.

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información