Обобщение на казуса
Скоро екипът на ESET информира за открита уязвимост при продуктите за дома, бизнеза и за сървъри за Microsoft Windows OS, която е позволила на потребители без нужните права да записват и презаписват файлове, в моментите, в които модул ESET Self-Defense не е бил активиран.
ESET подготвиха инсталатори, в които тази уязвимост е отстранена. За максимална сигурност, препоръчваме да използвате най-новата актуална верися на предлаганите инсталационни пакети.
Допълнителна информация
В лабораториите на ESET са получили доклад за машина, използваща Microsoft OS, върху която се е инсталирал или подновявал продукт на ESET. От този доклад става ясно, че е било възможно да се направят промени по директорията на ESET, след които самия продукт е можел да записва файлове, там където не би трябвало даден потребител да има права за такива действия и операции. По този начин са били ескалирани привилегиите на потребителя или се създава т.н Privilege Escalation Exploit.
Тази експлоатация е възможна поради факта, че по време на инсталационния процес, модула който защитава от такъв тип уязвимости все още е в процес на инсталация и съответният Self-Defense модул не е напълно активен. Извършването на атаката не е възможно след като се завърши процеса по инсталация на продукта. Такъв тип атака може да се случи, в които модул Self-Defense спрян.
Времето в което даден модул не е активен е много малко. Това е в момент на инсталация или подновяване. Поради това условие е много трудно атакуващият да експоатира тази уязвимост и се счита, че процента на успешната експлоатация е много малък.
Ъпгрейди от типа на Micro Program Component Update(uPCU) не са афектирани. Стандарните PCU-та са афектирани. Машини които вече имат инсталирано решение на ESET с активирани модули не са афектирани и са защитени по подразбиране от тази уязвимост.
Запазеното CVE ID за тази уязвимост е CVE-2020-26941.
Решение
ESET предоставят подновени инсталационни пакети, които могат да бъдат използвани от клиенти, за да подновят съответните решения:
ESET NOD32 Antivirus, ESET Internet Security и ESET Smart Security Premium 14.0
ESET Endpoint Antivirus и ESET Endpoint Security 8.0
ESET File Security for Microsoft Windows Server, ESET Mail Security for Microsoft Exchange Server, ESET Mail Security for IBM Domino и ESET Security for Microsoft SharePoint Server 7.3
Екипът на CENTIO #Cybersecurity силно препоръчва използването на най-новите инсталационни пакети.
Афектирани прдукти
Афектирани от тази уязвимост са следните инсталации или ъпгрейд на продукт:
ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security, ESET Smart Security Premium версии 13.2 и по-стари.
ESET Endpoint Antivirus, ESET Endpoint Security, ESET NOD32 Antivirus Business Edition, ESET Smart Security Business Edition версии 7.3 и по-стари.
ESET File Security for Microsoft Windows Server, ESET Mail Security for Microsoft Exchange Server, ESET Mail Security for IBM Domino, ESET Security for Kerio, ESET Security for Microsoft SharePoint Server версии 7.2 и по-стари.
При нужда от съдействие или въпроси към техническият екип на CENTIO #Cybersecurity, моля отворете тикет.
Ръководство на английски език: Local privilege escalation vulnerability fixed in ESET products for Windows