Atakujący mogą uzyskać uprawnienia systemu Windows za pomocą tego błędu programu antywirusowego ESET

Atakujący mogą uzyskać uprawnienia systemu Windows za pomocą tego błędu programu antywirusowego ESET

Cyberbezpieczeństwo powinno mieć ogromne znaczenie dla nas wszystkich, którzy mają dostęp do Internetu, zwłaszcza jeśli posiadamy cenne aktywa lub poufne informacje, które wymagają ochrony.

Jednak zabezpieczenie konta może czasami być znacznie trudniejsze niż tylko powiedzenie, że tak, ponieważ zaradni napastnicy zawsze znajdą sposób na obejście dostępnych zabezpieczeń.

Firma ESET wydała niedawno poprawki zabezpieczeń, które usuwają poważną lukę w lokalnej eskalacji uprawnień, która ma wpływ na wiele produktów w systemach z systemem Windows 10 i nowszym lub Windows Server 2016 lub nowszym.

Luka ta, znana jako CVE-2021-37852 , została zgłoszona przez inicjatywę Zero Day, ostrzegając użytkowników, że może umożliwić atakującym podniesienie uprawnień konta NT AUTHORITY\SYSTEM.

Należy pamiętać, że jest to zdecydowanie najwyższy poziom uprawnień w systemie Windows, a hakerzy osiągają to dzięki interfejsowi skanowania Windows Antimalware.

Eksperci ostrzegają przed nadciągającymi zagrożeniami cybernetycznymi

Jeśli jeszcze tego nie wiesz, AMSI zostało po raz pierwszy wprowadzone w Windows 10 Technical Preview. Dzięki temu aplikacje i usługi mogą żądać skanowania bufora pamięci z dowolnego głównego produktu antywirusowego zainstalowanego w systemie.

Według ekspertów ds. bezpieczeństwa firmy ESET można to osiągnąć dopiero po uzyskaniu przez osoby atakujące  uprawnień SeImpersonatePrivilege .

Jak wspomnieliśmy wcześniej, uprawnienia te są przydzielane użytkownikom z lokalnej grupy Administratorzy i konta usługi urządzenia lokalnego w celu podszycia się pod klienta po uwierzytelnieniu, co powinno ograniczyć wpływ tej luki.

Z drugiej strony Inicjatywa Zero Day  stwierdziła, że ​​cyberprzestępcy muszą jedynie być w stanie wykonać kod o niskim poziomie uprawnień w systemie docelowym, co jest zgodne z oceną ważności CVSS ESET. 

To automatycznie oznacza, że ​​ten paskudny i niebezpieczny błąd może zostać wykorzystany przez atakujących o niskich uprawnieniach.

Eksperci ds. bezpieczeństwa opublikowali również listę produktów, których dotyczy ta luka:

  • ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security i ESET Smart Security Premium od wersji 10.0.337.1 do 15.0.18.0
  • ESET Endpoint Antivirus for Windows i ESET Endpoint Security for Windows od wersji 6.6.2046.0 do 9.0.2032.4
  • ESET Server Security dla Microsoft Windows Server 8.0.12003.0 i 8.0.12003.1, ESET File Security dla Microsoft Windows Server od wersji 7.0.12014.0 do 7.3.12006.0
  • ESET Server Security dla Microsoft Azure od wersji 7.0.12016.1002 do 7.2.12004.1000
  • ESET Security dla Microsoft SharePoint Server od 7.0.15008.0 do 8.0.15004.0
  • ESET Mail Security dla IBM Domino od wersji 7.0.14008.0 do 8.0.14004.0
  • ESET Mail Security dla Microsoft Exchange Server 7.0.10019 do 8.0.10016.0

Należy również pamiętać, że użytkownikom programu ESET Server Security for Microsoft Azure zaleca  się natychmiastowe uaktualnienie do najnowszej dostępnej wersji programu ESET Server Security for Microsoft Windows Server.

Dobrą stroną tego rozwiązania jest to, że firma ESET nie znalazła żadnych dowodów na występowanie exploitów atakujących produkty, których dotyczy ten błąd bezpieczeństwa w środowisku naturalnym.

Nie oznacza to jednak, że powinniśmy zignorować niezbędne kroki, aby znów stać się bezpiecznym. Czy kiedykolwiek byłeś ofiarą tak wyrafinowanego ataku?

Podziel się z nami swoim doświadczeniem w sekcji komentarzy poniżej.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *