Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 15 Febbraio 2022 07:35
La società antivirus ESET ha rilasciato patch per una vulnerabilità legata all’escalation dei privilegi locali che ha colpito tutti i client dei suoi prodotti Windows.
La vulnerabilità, identificata come CVE-2021-37852 e scoperta dagli esperti della Zero Day Initiative (ZDI), è classificata come ad alto rischio perché consente a un utente malintenzionato di abusare della funzione di scansione AMSI.
Il bug interessa molte versioni di ESET NOD32 Antivirus, Internet Security, Smart Security e Smart Security Premium, Endpoint Antivirus ed Endpoint Security per Windows, Server Security e File Security per Windows Server, Server Security per Azure, Security for SharePoint Server e Mail Security per IBM Domino e per Exchange Server.
“Un utente malintenzionato che può ottenere [diritti] SeImpersonatePrivilege, in alcuni casi, è in grado di utilizzare la funzione di scansione AMSI per elevare i privilegi a NT AUTHORITY\SYSTEM”
spiega ESET.
Per impostazione predefinita, il gruppo Administrators locale e gli account di servizio del dispositivo locale hanno accesso a SeImpersonatePrivilege.
Tuttavia, poiché questi account dispongono già di privilegi piuttosto elevati, l’impatto di questo errore è molto limitato, sottolinea ESET.
ESET ha rilasciato una serie di patch per questo problema nel dicembre 2021, seguita da un altro batch di correzioni nel gennaio 2022 (per le versioni precedenti dei prodotti Windows).
La società rileva che la vulnerabilità può essere risolta anche nelle impostazioni semplicemente disabilitando l’opzione Abilita scansione avanzata tramite AMSI, tuttavia, ESET consiglia di utilizzare questa soluzione alternativa solo se l’installazione di patch per qualche motivo non è possibile.
RedazioneLa saga sulla sicurezza dei componenti di React Server continua questa settimana. Successivamente alla correzione di una vulnerabilità critica relativa all’esecuzione di codice remoto (RCE) che ha ...
Un nuovo allarme arriva dal sottobosco del cybercrime arriva poche ore fa. A segnalarlo l’azienda ParagonSec, società specializzata nel monitoraggio delle attività delle cyber gang e dei marketpla...
Cisco Talos ha identificato una nuova campagna ransomware chiamata DeadLock: gli aggressori sfruttano un driver antivirus Baidu vulnerabile (CVE-2024-51324) per disabilitare i sistemi EDR tramite la t...
Quanto avevamo scritto nell’articolo “Codice Patriottico: da DDoSia e NoName057(16) al CISM, l’algoritmo che plasma la gioventù per Putin” su Red Hot Cyber il 23 luglio scorso trova oggi pien...
Notepad++ è spesso preso di mira da malintenzionati perché il software è popolare e ampiamente utilizzato. Una vulnerabilità recentemente scoperta nell’editor di testo e codice open source Notep...
