Công ty bảo mật Internet Slovak ESET đã phát hành các bản sửa lỗi bảo mật để giải quyết lỗ hổng bảo mật cục bộ có mức độ nghiêm trọng cao ảnh hưởng đến nhiều sản phẩm trên hệ thống chạy Windows 10 trở lên hoặc Windows Server 2016 trở lên.
Lỗ hổng (CVE-2021-37852) đã được báo cáo bởi Michael DePlante thuộc Sáng kiến Ngày Không ngày của Trend Micro và cho phép những kẻ tấn công tăng đặc quyền đối với quyền tài khoản NT AUTHORITY \ SYSTEM (mức đặc quyền cao nhất trên hệ thống Windows). Giao diện quét Antimalware (AMSI).
AMSI lần đầu tiên được giới thiệu cùng với Windows 10 Technical Preview vào năm 2015 và cho phép các ứng dụng và dịch vụ yêu cầu quét bộ đệm bộ nhớ từ bất kỳ sản phẩm chống vi-rút chính nào được cài đặt trên hệ thống.
Theo ESET, điều này chỉ có thể đạt được sau khi những kẻ tấn công có được quyền SeImpersonatePrivilege, thường được gán cho người dùng trong nhóm quản trị viên cục bộ của thiết bị và tài khoản dịch vụ cục bộ để mạo danh khách hàng sau khi xác thực, điều này sẽ "hạn chế tác động của lỗ hổng này".
Tuy nhiên, lời khuyên của ZDI nói rằng những kẻ tấn công chỉ nên "đạt được khả năng thực thi mã đặc quyền thấp trên hệ thống mục tiêu", điều này phù hợp với xếp hạng mức độ nghiêm trọng CVSS của ESET và cũng cho thấy rằng các tác nhân đe dọa có ít đặc quyền có thể khai thác lỗi.
Trong khi ESET cho biết họ chỉ được biết về lỗi này vào ngày 18 tháng 11, một lịch trình tiết lộ có sẵn trong tư vấn của ZDI tiết lộ rằng lỗ hổng bảo mật đã được báo cáo 4 tháng trước đó, vào ngày 18 tháng 6 năm 2021.
Các sản phẩm ESET bị ảnh hưởng
Danh sách các sản phẩm bị ảnh hưởng bởi lỗ hổng này khá dài và bao gồm:
ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security và ESET Smart Security Premium từ phiên bản 10.0.337.1 đến 15.0.18.0
ESET Endpoint Antivirus dành cho Windows và ESET Endpoint Security dành cho Windows từ phiên bản 6.6.2046.0 đến 9.0.2032.4
ESET Server Security cho Microsoft Windows Server 8.0.12003.0 và 8.0.12003.1, ESET File Security cho Microsoft Windows Server từ phiên bản 7.0.12014.0 đến 7.3.12006.0
ESET Server Security dành cho Microsoft Azure từ phiên bản 7.0.12016.1002 đến 7.2.12004.1000
ESET Security cho Microsoft SharePoint Server từ phiên bản 7.0.15008.0 đến 8.0.15004.0
ESET Mail Security cho IBM Domino từ phiên bản 7.0.14008.0 đến 8.0.14004.0
ESET Mail Security cho Microsoft Exchange Server từ phiên bản 7.0.10019 đến 8.0.10016.0
Người dùng ESET Server Security dành cho Microsoft Azure cũng được khuyến nghị cập nhật ngay lập tức ESET File Security cho Microsoft Azure lên phiên bản ESET Server Security dành cho Microsoft Windows Server mới nhất hiện có để khắc phục sự cố.
Nhà sản xuất phần mềm chống vi-rút đã phát hành nhiều bản cập nhật bảo mật trong khoảng thời gian từ ngày 8 tháng 12 đến ngày 31 tháng 1 để giải quyết lỗ hổng này, khi họ vá sản phẩm dễ bị tấn công cuối cùng bị tấn công.
May mắn thay, ESET không tìm thấy bằng chứng về việc khai thác được thiết kế để tấn công các sản phẩm bị ảnh hưởng bởi lỗi bảo mật này trong tự nhiên.
"Bề mặt tấn công cũng có thể được loại bỏ bằng cách tắt tùy chọn Bật quét nâng cao qua AMSI trong Cài đặt nâng cao của sản phẩm ESET", ESET nói thêm.
"Tuy nhiên, ESET thực sự khuyên bạn nên nâng cấp lên phiên bản cố định của sản phẩm và chỉ áp dụng giải pháp này khi không thể nâng cấp vì một lý do quan trọng."
Văn bản được dịch bằng Google Dịch.
Tôi cảm thấy sự bất tiện của những từ bị dịch sai
Nguồn
