Windows: ESET-Virenscanner haben LPE-Schwachstelle

Publiziert am 3. Februar 2022 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)[English]Der slowakische Antivirus-Anbieter ESET hat eine Warnung für Nutzer seiner Windows-Produkte veröffentlicht. Bestimmte Antivirus-Produkte weisen in älteren Versionen eine Local Privilege Escalation (LPE) Schwachstelle CVE-2021-37852 auf. Diese ermöglicht einem lokalen Angreifer von einem Standardkonto SYSTEM-Berechtigungen zu erlangen. ESET bietet inzwischen aber Sicherheitsupdates zum Schließen der Schwachstelle an.

Anzeige

In der Sicherheitsmeldung [CA8223] Local privilege escalation vulnerability fixed in ESET products for Windows vom 31. Januar 2022 klärt der Hersteller ESET die Details auf.

CVE-2021-37852: Lokale Privilegienerweiterung

ESET wurde am 18. November 2021 von der Zero Day Initiative (ZDI) über eine potenzielle Sicherheitslücke zur lokalen Privilegienerweiterung informiert. Die Schwachstelle ermöglicht es einem Angreifer in bestimmten Fällen, die AMSI-Scanfunktion zu missbrauchen.

Laut dem Zero Day Initiative (ZDI) Bericht kann ein Angreifer, dem es gelingt unter Windows gelingt, SeImpersonatePrivilege zu erlangen, die AMSI-Scanfunktion missbrauchen, um in einigen Fällen NT AUTHORITY\SYSTEM Berechtigungen zu erlangen. Das SeImpersonatePrivilege steht standardmäßig der lokalen Administratorengruppe und den lokalen Dienstkonten des Geräts zur Verfügung, die bereits hoch privilegiert sind und somit die Auswirkungen dieser Schwachstelle begrenzen.

ZDI schreibt hier, dass ein Angreifer zunächst die Fähigkeit erlangen muss, niedrig privilegierten Code auf dem Zielsystem auszuführen, um diese Sicherheitslücke auszunutzen. Dann kann diese Schwachstelle es lokalen Angreifern ermöglichen, ihre Rechte auf den betroffenen Installationen von ESET Endpoint Antivirus zu erweitern.

Die spezifische Schwachstelle besteht in der Verwendung von Named Pipes. Das Problem resultiert daraus, dass sich ein nicht vertrauenswürdiger Prozess als Client einer Pipe ausgeben kann. Ein Angreifer kann diese Schwachstelle ausnutzen, um seine Privilegien zu erweitern und beliebigen Code im Kontext von SYSTEM auszuführen.

ESET hat diesen Bericht analysiert und dann verifiziert. Die Liste der betroffenen Produkte findet sich in der ESET-Warnung. Es wurden neue Builds der betroffenen Produkte erstellt, die nicht anfällig für diese Schwachstelle sind. Die Angriffsfläche kann auch durch Deaktivieren der Option Enable advanced scanning via AMSI in den erweiterten Einstellungen von ESET-Produkten beseitigt werden. Von ESET wurde CVE-2021-37852 für diese Schwachstelle reserviert.

Folgende Updates sind verfügbar

ESET hat die folgenden korrigierten Produktversionen veröffentlicht, die nicht für die Sicherheitslücke anfällig sind. Der Hersteller empfiehlt den Benutzern, so bald wie möglich auf diese Versionen zu aktualisieren:

  • ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security und ESET Smart Security 15.0.19.0 (veröffentlicht am 8. Dezember 2021)
  • ESET Endpoint Antivirus für Windows und ESET Endpoint Security für Windows 9.0.2032.6 und 9.0.2032.7 (veröffentlicht am 16. Dezember 2021)
  • ESET Endpoint Antivirus für Windows und ESET Endpoint Security für Windows 8.0.2028.3, 8.0.2028.4, 8.0.2039.3, 8.0.2039.4, 8.0.2044.3, 8.0.2044.4, 8.1.2031.3, 8.1.2031.4, 8.1.2037.9 und 8.1.2037.10 (veröffentlicht am 25. Januar 2022)
  • ESET Endpoint Antivirus für Windows und ESET Endpoint Security für Windows 7.3.2055.0 und 7.3.2055.1 (veröffentlicht am 31. Januar 2022)
  • ESET Server Security für Microsoft Windows Server 8.0.12010.0 (veröffentlicht am 16. Dezember 2021)
  • ESET File Security für Microsoft Windows Server 7.3.12008.0 (veröffentlicht am 12. Januar 2022)
  • ESET Security for Microsoft SharePoint Server 8.0.15006.0 (veröffentlicht am 16. Dezember 2021)
  • ESET Security für Microsoft SharePoint Server 7.3.15002.0 (veröffentlicht am 12. Januar 2022)
  • ESET Mail Security für IBM Domino 8.0.14006.0 (veröffentlicht am 16. Dezember 2021)
  • ESET Mail Security für IBM Domino 7.3.14003.0 (veröffentlicht am 26. Januar 2021)
  • ESET Mail Security für Microsoft Exchange Server 8.0.10018.0 (veröffentlicht am 16. Dezember 2021)
  • ESET Mail Security für Microsoft Exchange Server 7.3.10014.0 (veröffentlicht am 26. Januar 2022)

Benutzern von ESET Server Security für Microsoft Azure wird empfohlen, ESET File Security für Microsoft Azure auf die neueste Version von ESET Server Security für Microsoft Windows Server zu aktualisieren.

Anzeige
Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit, Virenschutz abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.