Антивирусная компания ESET выпустила патчи для уязвимости локального повышения привилегий, которая затрагивала все клиенты ее Windows-продуктов.
Уязвимость, получившая идентификатор CVE-2021-37852 и обнаруженная экспертами Zero Day Initiative (ZDI), оценивается как высокорисковая, поскольку позволяет злоумышленнику злоупотреблять функцией сканирования AMSI.
Ошибка затрагивает многие версии ESET NOD32 Antivirus, Internet Security, Smart Security и Smart Security Premium, Endpoint Antivirus и Endpoint Security для Windows, Server Security и File Security для Windows Server, Server Security для Azure, Security для SharePoint Server, а также Mail Security для IBM Domino и для Exchange Server.
«Злоумышленник, который может получить [права] SeImpersonatePrivilege, в некоторых случаях получает возможность использовать функцию сканирования AMSI для повышения привилегий до NT AUTHORITY\SYSTEM», — поясняет ESET.
По умолчанию локальная группа администраторов и учетные записи локальной службы устройства имеют доступ к SeImpersonatePrivilege. Однако, так как эти учетные записи и так имеют достаточно высокие привилегии, влияние этой ошибки весьма ограничено, подчеркивают в ESET.
ESET выпустила серию патчей для этой проблемы в декабре 2021 года, а затем еще одну партию исправлений в январе 2022 года (для более старых версий Windows-продуктов). Компания отмечает, что уязвимость также можно устранить в настройках, попросту отключив параметр Enable advanced scanning via AMSI, однако в ESET рекомендуют использовать этот обходной путь лишь в том случае, если установка патчей по какой-то причине вообще невозможна.