ESET Antivirüs Hatası, Saldırganların Windows SYSTEM Ayrıcalıkları Kazanmasına İzin Veriyor
Slovak internet güvenlik firması ESET, Windows 10 ve sonraki sürümleri veya Windows Server 2016 ve sonraki sürümleri çalıştıran sistemlerde birden çok ürünü etkileyen yüksek önem derecesine sahip yerel ayrıcalık yükseltme güvenlik açığını gidermek için güvenlik düzeltmeleri yayınladı.
Hata (CVE-2021-37852), Trend Micro'nun Zero Day Initiative programından Michael DePlante tarafından bildirildi ve saldırganların Windows Antimalware kullanarak ayrıcalıkları NT AUTHORITY\SYSTEM hesap haklarına (bir Windows sistemindeki en yüksek ayrıcalık düzeyi) yükseltmesine olanak tanıyor. Tarama Arayüzü (AMSI).
AMSI, ilk olarak 2015 yılında Windows 10 Teknik Önizleme ile tanıtıldı ve uygulamaların ve hizmetlerin sistemde yüklü olan herhangi bir büyük antivirüs ürününden bellek arabellek taramaları istemesine izin veriyor.
ESET'e göre bu, ancak saldırganlar, kimlik doğrulamasından sonra bir istemcinin kimliğine bürünmek için normalde yerel Administrators grubundaki kullanıcılara ve cihazın yerel Hizmet hesabına atanan ve "bu güvenlik açığının etkisini sınırlaması gereken" SeImpersonatePrivilege haklarını kazandıktan sonra gerçekleştirilebilir.
Bununla birlikte, ZDI'nin tavsiyesi, saldırganların yalnızca "hedef sistemde düşük ayrıcalıklı kod yürütme yeteneği elde etmeleri" gerektiğini söylüyor; bu, ESET'in CVSS önem derecesi ile eşleşiyor ve aynı zamanda hatanın düşük ayrıcalıklara sahip tehdit aktörleri tarafından istismar edilebileceğini gösteriyor.
ESET, bu hatayı yalnızca 18 Kasım'da öğrendiğini söylese de, ZDI'nin danışma belgesinde bulunan bir açıklama zaman çizelgesi, güvenlik açığının dört ay önce, 18 Haziran 2021'de bildirildiğini ortaya koyuyor.
Etkilenen ESET ürünleri
Bu güvenlik açığından etkilenen ürünlerin listesi oldukça uzundur ve şunları içerir:
- ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security ve ESET Smart Security Premium, sürüm 10.0.337.1'den 15.0.18.0'a
- ESET Endpoint Antivirus for Windows ve ESET Endpoint Security for Windows 6.6.2046.0'dan 9.0.2032.4'e kadar
- Microsoft Windows Server 8.0.12003.0 ve 8.0.12003.1 için ESET Server Security, Microsoft Windows Server için ESET File Security 7.0.12014.0'dan 7.3.12006.0'a kadar
- Microsoft Azure için ESET Server Security 7.0.12016.1002'den 7.2.12004.1000'e
- Microsoft SharePoint Server için ESET Security 7.0.15008.0 sürümünden 8.0.15004.0 sürümüne
- 7.0.14008.0 sürümünden 8.0.1404.0 sürümüne kadar IBM Domino için ESET Mail Security
- Microsoft Exchange Server için ESET Mail Security 7.0.10019 sürümünden 8.0.10016.0'a
Microsoft Azure için ESET Server Security kullanıcılarının, kusuru gidermek için Microsoft Azure için ESET File Security'yi hemen mevcut en son ESET Server Security sürümüne güncellemeleri önerilir.
Virüsten koruma üreticisi, saldırılara maruz kalan son savunmasız ürünü yamalarken bu güvenlik açığını gidermek için 8 Aralık ile 31 Ocak arasında birden çok güvenlik güncellemesi yayınladı.
Neyse ki ESET, vahşi ortamda bu güvenlik hatasından etkilenen ürünleri hedeflemek için tasarlanmış herhangi bir istismar kanıtı bulamadı.
ESET, "ESET ürünlerinin Gelişmiş ayarlarında AMSI ile gelişmiş taramayı etkinleştir seçeneği devre dışı bırakılarak da saldırı yüzeyi ortadan kaldırılabilir."
"Ancak ESET, sabit bir ürün sürümüne yükseltme yapılmasını ve bu geçici çözümün yalnızca yükseltme önemli bir nedenle mümkün olmadığında uygulanmasını şiddetle tavsiye ediyor."
Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.