Image : ESET
La société slovaque de sécurité Internet ESET a publié des correctifs de sécurité pour résoudre une vulnérabilité d’escalade de privilèges locaux de haute gravité affectant plusieurs produits sur des systèmes exécutant Windows 10 et versions ultérieures ou Windows Server 2016 et versions ultérieures.
Le défaut (CVE-2021-37852) a été signalé par Michael DePlante de l’initiative Zero Day de Trend Micro, et il permet aux attaquants d’élever les privilèges aux droits de compte NT AUTHORITYSYSTEM (le plus haut niveau de privilèges sur un système Windows) à l’aide de l’interface d’analyse antimalware Windows (AMSI).
AMSI a été introduit pour la première fois avec Windows 10 Technical Preview en 2015et il permet aux applications et aux services de demander des analyses de mémoire tampon à partir de n’importe quel produit antivirus majeur installé sur le système.
Selon ESETcela ne peut être réalisé qu’après que les attaquants aient gagné Droits SeImpersonatePrivilegenormalement attribué aux utilisateurs du groupe Administrateurs local et au compte de service local de l’appareil pour se faire passer pour un client après authentification, ce qui devrait « limiter l’impact de cette vulnérabilité ».
Pourtant, Avis de ZDI dit que les attaquants ne sont tenus que « d’obtenir la capacité d’exécuter du code à faible privilège sur le système cible », ce qui correspond Évaluation de la gravité CVSS d’ESET montrant également que le bug peut être exploité par des acteurs de la menace avec de faibles privilèges.
Alors qu’ESET a déclaré n’avoir découvert ce bug que le 18 novembre, un calendrier de divulgation disponible dans l’avis de ZDI révèle que la vulnérabilité a été signalée quatre mois plus tôt, le 18 juin 2021.
Produits ESET concernés
La liste des produits concernés par cette vulnérabilité est assez longue et comprend :
- ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security et ESET Smart Security Premium de la version 10.0.337.1 à 15.0.18.0
- ESET Endpoint Antivirus pour Windows et ESET Endpoint Security pour Windows de la version 6.6.2046.0 à 9.0.2032.4
- ESET Server Security pour Microsoft Windows Server 8.0.12003.0 et 8.0.12003.1, ESET File Security pour Microsoft Windows Server de la version 7.0.12014.0 à 7.3.12006.0
- ESET Server Security pour Microsoft Azure de la version 7.0.12016.1002 à 7.2.12004.1000
- ESET Security for Microsoft SharePoint Server de la version 7.0.15008.0 à 8.0.15004.0
- ESET Mail Security pour IBM Domino de la version 7.0.14008.0 à 8.0.14004.0
- ESET Mail Security pour Microsoft Exchange Server de la version 7.0.10019 à 8.0.10016.0
Utilisateurs d’ESET Server Security pour Microsoft Azure sont également conseillés pour mettre immédiatement à jour ESET File Security pour Microsoft Azure vers la dernière version disponible d’ESET Server Security pour Microsoft Windows Server afin de corriger la faille.
Le fabricant d’antivirus publié plusieurs mises à jour de sécurité entre le 8 décembre et le 31 janvier pour remédier à cette vulnérabilité, lorsqu’il a corrigé le dernier produit vulnérable exposé aux attaques.
Heureusement, ESET n’a trouvé aucune preuve d’exploits conçus pour cibler les produits affectés par ce bug de sécurité dans la nature.
« La surface d’attaque peut également être éliminée en désactivant l’option Activer l’analyse avancée via AMSI dans la configuration avancée des produits ESET », a ajouté ESET.
« Cependant, ESET recommande fortement d’effectuer une mise à niveau vers une version de produit fixe et d’appliquer cette solution de contournement uniquement lorsque la mise à niveau n’est pas possible pour une raison importante. »