[English]Der slowakische Antivirus-Anbieter ESET hat eine Warnung für Nutzer seiner Windows-Produkte veröffentlicht. Bestimmte Antivirus-Produkte weisen in älteren Versionen eine Local Privilege Escalation (LPE) Schwachstelle CVE-2021-37852 auf. Diese ermöglicht einem lokalen Angreifer von einem Standardkonto SYSTEM-Berechtigungen zu erlangen. ESET bietet inzwischen aber Sicherheitsupdates zum Schließen der Schwachstelle an.
Anzeige
In der Sicherheitsmeldung [CA8223] Local privilege escalation vulnerability fixed in ESET products for Windows vom 31. Januar 2022 klärt der Hersteller ESET die Details auf.
CVE-2021-37852: Lokale Privilegienerweiterung
ESET wurde am 18. November 2021 von der Zero Day Initiative (ZDI) über eine potenzielle Sicherheitslücke zur lokalen Privilegienerweiterung informiert. Die Schwachstelle ermöglicht es einem Angreifer in bestimmten Fällen, die AMSI-Scanfunktion zu missbrauchen.
Laut dem Zero Day Initiative (ZDI) Bericht kann ein Angreifer, dem es gelingt unter Windows gelingt, SeImpersonatePrivilege zu erlangen, die AMSI-Scanfunktion missbrauchen, um in einigen Fällen NT AUTHORITY\SYSTEM Berechtigungen zu erlangen. Das SeImpersonatePrivilege steht standardmäßig der lokalen Administratorengruppe und den lokalen Dienstkonten des Geräts zur Verfügung, die bereits hoch privilegiert sind und somit die Auswirkungen dieser Schwachstelle begrenzen.
ZDI schreibt hier, dass ein Angreifer zunächst die Fähigkeit erlangen muss, niedrig privilegierten Code auf dem Zielsystem auszuführen, um diese Sicherheitslücke auszunutzen. Dann kann diese Schwachstelle es lokalen Angreifern ermöglichen, ihre Rechte auf den betroffenen Installationen von ESET Endpoint Antivirus zu erweitern.
Anzeige
Die spezifische Schwachstelle besteht in der Verwendung von Named Pipes. Das Problem resultiert daraus, dass sich ein nicht vertrauenswürdiger Prozess als Client einer Pipe ausgeben kann. Ein Angreifer kann diese Schwachstelle ausnutzen, um seine Privilegien zu erweitern und beliebigen Code im Kontext von SYSTEM auszuführen.
ESET hat diesen Bericht analysiert und dann verifiziert. Die Liste der betroffenen Produkte findet sich in der ESET-Warnung. Es wurden neue Builds der betroffenen Produkte erstellt, die nicht anfällig für diese Schwachstelle sind. Die Angriffsfläche kann auch durch Deaktivieren der Option Enable advanced scanning via AMSI in den erweiterten Einstellungen von ESET-Produkten beseitigt werden. Von ESET wurde CVE-2021-37852 für diese Schwachstelle reserviert.
Folgende Updates sind verfügbar
ESET hat die folgenden korrigierten Produktversionen veröffentlicht, die nicht für die Sicherheitslücke anfällig sind. Der Hersteller empfiehlt den Benutzern, so bald wie möglich auf diese Versionen zu aktualisieren:
- ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security und ESET Smart Security 15.0.19.0 (veröffentlicht am 8. Dezember 2021)
- ESET Endpoint Antivirus für Windows und ESET Endpoint Security für Windows 9.0.2032.6 und 9.0.2032.7 (veröffentlicht am 16. Dezember 2021)
- ESET Endpoint Antivirus für Windows und ESET Endpoint Security für Windows 8.0.2028.3, 8.0.2028.4, 8.0.2039.3, 8.0.2039.4, 8.0.2044.3, 8.0.2044.4, 8.1.2031.3, 8.1.2031.4, 8.1.2037.9 und 8.1.2037.10 (veröffentlicht am 25. Januar 2022)
- ESET Endpoint Antivirus für Windows und ESET Endpoint Security für Windows 7.3.2055.0 und 7.3.2055.1 (veröffentlicht am 31. Januar 2022)
- ESET Server Security für Microsoft Windows Server 8.0.12010.0 (veröffentlicht am 16. Dezember 2021)
- ESET File Security für Microsoft Windows Server 7.3.12008.0 (veröffentlicht am 12. Januar 2022)
- ESET Security for Microsoft SharePoint Server 8.0.15006.0 (veröffentlicht am 16. Dezember 2021)
- ESET Security für Microsoft SharePoint Server 7.3.15002.0 (veröffentlicht am 12. Januar 2022)
- ESET Mail Security für IBM Domino 8.0.14006.0 (veröffentlicht am 16. Dezember 2021)
- ESET Mail Security für IBM Domino 7.3.14003.0 (veröffentlicht am 26. Januar 2021)
- ESET Mail Security für Microsoft Exchange Server 8.0.10018.0 (veröffentlicht am 16. Dezember 2021)
- ESET Mail Security für Microsoft Exchange Server 7.3.10014.0 (veröffentlicht am 26. Januar 2022)
Benutzern von ESET Server Security für Microsoft Azure wird empfohlen, ESET File Security für Microsoft Azure auf die neueste Version von ESET Server Security für Microsoft Windows Server zu aktualisieren.
Anzeige