Vulnerabilidad en el antivirus ESET permite obtener privilegios de SYSTEM en Windows
La empresa de seguridad de Internet eslovaca ESET lanz贸 correcciones de seguridad para abordar una vulnerabilidad de escalada de privilegios locales de alta gravedad. La vulnerabilidad afecta a m煤ltiples productos en sistemas que ejecutan Windows 10 y versiones posteriores o Windows Server 2016 y versiones posteriores.
La vulnerabilidad (CVE-2021-37852) fue reportada por Michael DePlante de Zero Day Initiative (ZDI) de Trend Micro. Esta permite a los atacantes aumentar los privilegios a los derechos de cuenta de NT AUTHORITY\SYSTEM (el nivel m谩s alto de privilegios en un sistema Windows) usando Windows Antimalware Scan Interface (AMSI).
AMSI se introdujo por primera vez con Windows 10 Technical Preview en 2015. Este permite que las aplicaciones y los servicios soliciten an谩lisis del b煤fer de memoria de cualquier producto antivirus importante instalado en el sistema.
Seg煤n ESET, esto solo se puede lograr despu茅s de que los atacantes obtengan los derechos SeImpersonatePrivilege, normalmente asignados a los usuarios en el grupo de administradores locales y la cuenta de servicio local del dispositivo. Esto para hacerse pasar por un cliente despu茅s de la autenticaci贸n, lo que deber铆a “limitar el impacto de esta vulnerabilidad”.
Sin embargo, el aviso de ZDI dice que los atacantes solo deben “obtener la capacidad de ejecutar c贸digo con pocos privilegios en el sistema de destino”, lo que coincide con la calificaci贸n de gravedad CVSS de ESET. En otras palabras, los actores de amenazas con pocos privilegios pueden explotar la vulnerabilidad.
Si bien ESET dijo que se enter贸 de la vulnerabilidad el 18 de noviembre, un cronograma de divulgaci贸n disponible en el aviso de ZDI revela que la vulnerabilidad se report贸 cuatro meses antes. Es decir, el 18 de junio de 2021.
Productos de ESET afectados
La lista de productos afectados por esta vulnerabilidad es bastante larga e incluye:
- Antivirus ESET NOD32 , ESET Internet Security, ESET Smart Security y ESET Smart Security Premium de la versi贸n 10.0.337.1 a la 15.0.18.0
- Antivirus ESET Endpoint para Windows y ESET Endpoint Security para Windows desde la versi贸n 6.6.2046.0 a la 9.0.2032.4
- ESET Server Security para Microsoft Windows Server 8.0.12003.0 y 8.0.12003.1, ESET File Security para Microsoft Windows Server desde la versi贸n 7.0.12014.0 hasta la 7.3.12006.0
- ESET Server Security para Microsoft Azure desde la versi贸n 7.0.12016.1002 hasta la 7.2.12004.1000
- Entre otros
El fabricante de antivirus lanz贸 varias actualizaciones de seguridad entre el 8 de diciembre y el 31 de enero para abordar esta vulnerabilidad.
Afortunadamente, ESET no encontr贸 evidencia de exploits dise帽ados para atacar productos afectados por este error de seguridad.
“La superficie de ataque tambi茅n se puede eliminar al deshabilitar la opci贸n Habilitar escaneo avanzado a trav茅s de AMSI en la Configuraci贸n avanzada de los productos ESET.
Sin embargo, ESET recomienda encarecidamente realizar una actualizaci贸n a una versi贸n reparada del producto. Es decir, solo se debe aplicar esta soluci贸n alternativa cuando la actualizaci贸n no sea posible por una raz贸n importante”.
