Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
La società antivirus ESET ha rilasciato patch per una vulnerabilità legata all’escalation dei privilegi locali che ha colpito tutti i client dei suoi prodotti Windows.
La vulnerabilità, identificata come CVE-2021-37852 e scoperta dagli esperti della Zero Day Initiative (ZDI), è classificata come ad alto rischio perché consente a un utente malintenzionato di abusare della funzione di scansione AMSI.
Il bug interessa molte versioni di ESET NOD32 Antivirus, Internet Security, Smart Security e Smart Security Premium, Endpoint Antivirus ed Endpoint Security per Windows, Server Security e File Security per Windows Server, Server Security per Azure, Security for SharePoint Server e Mail Security per IBM Domino e per Exchange Server.
“Un utente malintenzionato che può ottenere [diritti] SeImpersonatePrivilege, in alcuni casi, è in grado di utilizzare la funzione di scansione AMSI per elevare i privilegi a NT AUTHORITY\SYSTEM”
spiega ESET.
Per impostazione predefinita, il gruppo Administrators locale e gli account di servizio del dispositivo locale hanno accesso a SeImpersonatePrivilege.
Tuttavia, poiché questi account dispongono già di privilegi piuttosto elevati, l’impatto di questo errore è molto limitato, sottolinea ESET.
ESET ha rilasciato una serie di patch per questo problema nel dicembre 2021, seguita da un altro batch di correzioni nel gennaio 2022 (per le versioni precedenti dei prodotti Windows).
La società rileva che la vulnerabilità può essere risolta anche nelle impostazioni semplicemente disabilitando l’opzione Abilita scansione avanzata tramite AMSI, tuttavia, ESET consiglia di utilizzare questa soluzione alternativa solo se l’installazione di patch per qualche motivo non è possibile.
