Bug antivirus ESET memungkinkan penyerang mendapatkan hak istimewa Sistem Windows

Perusahaan keamanan internet Slovakia ESET merilis perbaikan keamanan untuk mengatasi kerentanan eskalasi hak istimewa lokal tingkat keparahan tinggi yang mempengaruhi beberapa produk pada sistem yang menjalankan Windows 10 dan yang lebih baru atau Windows Server 2016 ke atas.

Cacat (CVE-2021-37852) dilaporkan oleh Michael DePlante dari Zero Day Initiative Trend Micro, dan memungkinkan penyerang untuk meningkatkan hak istimewa untuk hak akun NT AUTHORITY SYSTEM (tingkat hak istimewa tertinggi pada sistem Windows) menggunakan Windows Antimalware Scan Interface (AMSI).

AMSI pertama kali diperkenalkan dengan Windows 10 Technical Preview pada tahun 2015, dan memungkinkan aplikasi dan layanan untuk meminta pemindaian buffer memori dari produk antivirus utama yang diinstal pada sistem.

Menurut ESET, ini hanya dapat dicapai setelah penyerang mendapatkan hak SeImpersonatePrivilege, biasanya ditugaskan kepada pengguna di grup Administrator lokal dan akun Layanan lokal perangkat untuk meniru klien setelah otentikasi yang harus “membatasi dampak kerentanan ini.”

Namun, penasihat ZDI mengatakan penyerang hanya diminta untuk “mendapatkan kemampuan untuk mengeksekusi kode istimewa rendah pada sistem target,” yang sesuai dengan peringkat keparahan CVSS ESET juga menunjukkan bahwa bug dapat dieksploitasi oleh aktor ancaman dengan hak istimewa rendah.

Sementara ESET mengatakan baru mengetahui tentang bug ini pada 18 November, garis waktu pengungkapan yang tersedia dalam penasihat ZDI mengungkapkan bahwa kerentanan dilaporkan empat bulan sebelumnya, pada 18 Juni 2021.

Produk ESET yang terpengaruh

Daftar produk yang terkena dampak kerentanan ini cukup panjang, dan itu termasuk:

ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security, dan ESET Smart Security Premium dari versi 10.0.337.1 hingga 15.0.18.0

ESET Endpoint Antivirus untuk Windows dan ESET Endpoint Security untuk Windows dari versi 6.6.2046.0 hingga 9.0.2032.4

ESET Server Security untuk Microsoft Windows Server 8.0.12003.0 dan 8.0.12003.1, ESET File Security untuk Microsoft Windows Server dari versi 7.0.12014.0 ke 7.3.12006.0

ESET Server Security untuk Microsoft Azure dari versi 7.0.12016.1002 hingga 7.2.12004.1000

ESET Security untuk Microsoft SharePoint Server dari versi 7.0.15008.0 hingga 8.0.15004.0

ESET Mail Security untuk IBM Domino dari versi 7.0.14008.0 hingga 8.0.14004.0

ESET Mail Security untuk Microsoft Exchange Server dari versi 7.0.10019 hingga 8.0.10016.0

Pembuat antivirus merilis beberapa pembaruan keamanan antara 8 Desember dan 31 Januari untuk mengatasi kerentanan ini, ketika menambal produk rentan terakhir yang terkena serangan.
Untungnya, ESET tidak menemukan bukti eksploitasi yang dirancang untuk menargetkan produk yang terkena dampak bug keamanan ini di alam liar.
“Permukaan serangan juga dapat dihilangkan dengan menonaktifkan enable advanced scanning melalui opsi AMSI dalam pengaturan Lanjutan produk ESET,” tambah ESET.
“Namun, ESET sangat menyarankan untuk melakukan upgrade ke versi produk tetap dan hanya menerapkan solusi ini ketika upgrade tidak mungkin karena alasan penting.”

Sumber: Bleepingcomputer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Produk ESET yang terpengaruh

Cookies Settings