El error del antivirus ESET permite a los atacantes obtener privilegios del SISTEMA de Windows

La empresa de seguridad de Internet eslovaca ESET lanzó correcciones de seguridad para abordar una vulnerabilidad de escalada de privilegios locales de alta gravedad que afecta a múltiples productos en sistemas que ejecutan Windows 10 y versiones posteriores o Windows Server 2016 y versiones posteriores.

La falla (CVE-2021-37852) fue reportada por Michael DePlante de Zero Day Initiative de Trend Micro, y permite a los atacantes aumentar los privilegios a los derechos de cuenta NT AUTHORITY\SYSTEM (el nivel más alto de privilegios en un sistema Windows) usando Windows Antimalware Interfaz de escaneo (AMSI).

AMSI se introdujo por primera vez con Windows 10 Technical Preview en 2015 y permite que las aplicaciones y los servicios soliciten análisis del búfer de memoria de cualquier producto antivirus importante instalado en el sistema.

Según ESET, esto solo se puede lograr después de que los atacantes obtengan  los derechos SeImpersonatePrivilege , normalmente asignados a los usuarios en el grupo de administradores locales y la cuenta de servicio local del dispositivo para hacerse pasar por un cliente después de la autenticación, lo que debería "limitar el impacto de esta vulnerabilidad".

Sin embargo, el aviso de ZDI dice que los atacantes únicamente deben "obtener la capacidad de ejecutar código con pocos privilegios en el sistema de destino", lo que coincide con la calificación de gravedad CVSS de ESET y también muestra que los actores de amenazas con pocos privilegios pueden explotar el error.

Si bien ESET dijo que solo se enteró de este error el 18 de noviembre, un cronograma de divulgación disponible en el aviso de ZDI revela que la vulnerabilidad se informó cuatro meses antes, el 18 de junio de 2021.

Productos ESET afectados

La lista de productos afectados por esta vulnerabilidad es bastante larga e incluye:

• ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security y ESET Smart Security Premium de la versión 10.0.337.1 a la 15.0.18.0
• ESET Endpoint Antivirus para Windows y ESET Endpoint Security para Windows desde la versión 6.6.2046.0 a la 9.0.2032.4
• ESET Server Security para Microsoft Windows Server 8.0.12003.0 y 8.0.12003.1, ESET File Security para Microsoft Windows Server desde la versión 7.0.12014.0 hasta la 7.3.12006.0
• ESET Server Security para Microsoft Azure desde la versión 7.0.12016.1002 hasta la 7.2.12004.1000
• ESET Security para Microsoft SharePoint Server desde la versión 7.0.15008.0 a la 8.0.15004.0
• ESET Mail Security para IBM Domino desde la versión 7.0.14008.0 a la 8.0.14004.0
• ESET Mail Security para Microsoft Exchange Server desde la versión 7.0.10019 a la 8.0.10016.0

Nuestros expertos recomiendan a los usuarios de ESET Server Security para Microsoft Azure que actualicen de inmediato ESET File Security para Microsoft Azure a la última versión disponible de ESET Server Security para Microsoft Windows Server para corregir la falla.

‍

‍