{"id":262253,"date":"2022-02-03T15:37:58","date_gmt":"2022-02-03T14:37:58","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=262253"},"modified":"2022-02-04T06:25:42","modified_gmt":"2022-02-04T05:25:42","slug":"windows-eset-virenscanner-haben-lpe-schwachstelle","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/02\/03\/windows-eset-virenscanner-haben-lpe-schwachstelle\/","title":{"rendered":"Windows: ESET-Virenscanner haben LPE-Schwachstelle"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Der slowakische Antivirus-Anbieter ESET hat eine Warnung f\u00fcr Nutzer seiner Windows-Produkte ver\u00f6ffentlicht. Bestimmte Antivirus-Produkte weisen in \u00e4lteren Versionen eine Local Privilege Escalation (LPE) Schwachstelle CVE-2021-37852 auf. Diese erm\u00f6glicht einem lokalen Angreifer von einem Standardkonto SYSTEM-Berechtigungen zu erlangen. ESET bietet inzwischen aber Sicherheitsupdates zum Schlie\u00dfen der Schwachstelle an.<\/p>\n

<\/p>\n

\"\"In der Sicherheitsmeldung [CA8223] Local privilege escalation vulnerability fixed in ESET products for Windows<\/a> vom 31. Januar 2022 kl\u00e4rt der Hersteller ESET die Details auf.<\/p>\n

CVE-2021-37852: Lokale Privilegienerweiterung<\/h2>\n

ESET wurde am 18. November 2021 von der Zero Day Initiative (ZDI) \u00fcber eine potenzielle Sicherheitsl\u00fccke zur lokalen Privilegienerweiterung informiert. Die Schwachstelle erm\u00f6glicht es einem Angreifer in bestimmten F\u00e4llen, die AMSI-Scanfunktion zu missbrauchen.<\/p>\n

Laut dem Zero Day Initiative (ZDI) Bericht kann ein Angreifer, dem es gelingt unter Windows gelingt, SeImpersonatePrivilege<\/em> zu erlangen, die AMSI-Scanfunktion missbrauchen, um in einigen F\u00e4llen NT AUTHORITY\\SYSTEM Berechtigungen zu erlangen. Das SeImpersonatePrivilege<\/em> steht standardm\u00e4\u00dfig der lokalen Administratorengruppe und den lokalen Dienstkonten des Ger\u00e4ts zur Verf\u00fcgung, die bereits hoch privilegiert sind und somit die Auswirkungen dieser Schwachstelle begrenzen.<\/p>\n

ZDI schreibt hier<\/a>, dass ein Angreifer zun\u00e4chst die F\u00e4higkeit erlangen muss, niedrig privilegierten Code auf dem Zielsystem auszuf\u00fchren, um diese Sicherheitsl\u00fccke auszunutzen. Dann kann diese Schwachstelle es lokalen Angreifern erm\u00f6glichen, ihre Rechte auf den betroffenen Installationen von ESET Endpoint Antivirus zu erweitern.<\/p>\n

Die spezifische Schwachstelle besteht in der Verwendung von Named Pipes. Das Problem resultiert daraus, dass sich ein nicht vertrauensw\u00fcrdiger Prozess als Client einer Pipe ausgeben kann. Ein Angreifer kann diese Schwachstelle ausnutzen, um seine Privilegien zu erweitern und beliebigen Code im Kontext von SYSTEM auszuf\u00fchren.<\/p>\n

ESET hat diesen Bericht analysiert und dann verifiziert. Die Liste der betroffenen Produkte findet sich in der ESET-Warnung<\/a>. Es wurden neue Builds der betroffenen Produkte erstellt, die nicht anf\u00e4llig f\u00fcr diese Schwachstelle sind. Die Angriffsfl\u00e4che kann auch durch Deaktivieren der Option Enable advanced scanning via AMSI<\/em> in den erweiterten Einstellungen von ESET-Produkten beseitigt werden. Von ESET wurde CVE-2021-37852 f\u00fcr diese Schwachstelle reserviert.<\/p>\n

Folgende Updates sind verf\u00fcgbar<\/h2>\n

ESET hat die folgenden korrigierten Produktversionen ver\u00f6ffentlicht, die nicht f\u00fcr die Sicherheitsl\u00fccke anf\u00e4llig sind. Der Hersteller empfiehlt den Benutzern, so bald wie m\u00f6glich auf diese Versionen zu aktualisieren:<\/p>\n