Остранена е уязвимост за ескалиране на локални привилегии в продуктите на ESET, работещи под Windows OS.
Обобщение на казуса
Наскоро от ESET откриха уязвимост в своите домашни, бизнес и сървърни антивирусни решения, работещи под Microsoft Windows OS, която позволява на потребители без нужните права да записват и презаписват файлове когато ESET Self-Defense модула не е активен.
ESET подготвиха инсталатори, в които тази уязвимост е отстранена. За максимална сигурност препоръчваме да използвате най-последната верися на продуктите.
Допълнителна информация
В лабораториите на ESET са получили доклад за машина, работеща на Microsoft OS, върху която се е инсталирал или подновявал продукт на ESET. От този доклад става ясно, че е било възможно да се направят промени по директорията на ESET, след които самия продукт е можел да записва файлове, там където не би трябвало даден потребител да има права за такива действия и операции. По този начин са били ескалирани привилегиите на потребителя и се създава т.н Privilege Escalation Exploit.
Тази експлоатация е възможна поради факта, че по време на инсталационния процес, модула който защитава от такъв тип уязвимости (Self-Defense) все още е в процес на инсталация и не е напълно активен. Извършването на атаката не е възможно след като се завърши процеса по инсталация на продукта. Такъв тип атака също може да се случи когато Self-Defense модула е спрян ръчно.
Времето, в което конкретния модул не е активен е много малко. Това е по време на инсталация или подновяване. Поради тази причина е много трудно атакуващият да експоатира тази уязвимост и се счита, че вероятността за успешната експлоатация е много малка.
Ъпгрейдите от типа на Micro Program Component Update(uPCU) не са афектирани. Стандарните PCU-та са афектирани. Машини, които вече имат инсталирано решение на ESET не са афектирани и са защитени по подразбиране от тази уязвимост.
Запазеното CVE ID за тази уязвимост е CVE-2020-26941.
Решение
ESET предоставят подновени инсталационни пакети, които могат да бъдат използвани от клиентите, за да подновят съответните решения:
ESET NOD32 Antivirus, ESET Internet Security и ESET Smart Security Premium 14.0
ESET Endpoint Antivirus и ESET Endpoint Security 8.0
ESET File Security for Microsoft Windows Server, ESET Mail Security for Microsoft Exchange Server, ESET Mail Security for IBM Domino и ESET Security for Microsoft SharePoint Server 7.3
Екипът на CENTIO #Cybersecurity силно препоръчва използването на последната налична версия на продуктите.
Афектирани прдукти
Следните версии на продуктите са засегнати от тази уязвимост:
ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security, ESET Smart Security Premium версии 13.2 и по-стари.
ESET Endpoint Antivirus, ESET Endpoint Security, ESET NOD32 Antivirus Business Edition, ESET Smart Security Business Edition версии 7.3 и по-стари.
ESET File Security for Microsoft Windows Server, ESET Mail Security for Microsoft Exchange Server, ESET Mail Security for IBM Domino, ESET Security for Kerio, ESET Security for Microsoft SharePoint Server версии 7.2 и по-стари.
При нужда от съдействие или въпроси към техническият екип на CENTIO #Cybersecurity, моля отворете тикет.
Ръководство на английски език: Local privilege escalation vulnerability fixed in ESET products for Windows