Un error del antivirus ESET permite a los atacantes obtener privilegios de sistema de Windows

La empresa eslovaca de seguridad en Internet ESET lanzó correcciones de seguridad para abordar una vulnerabilidad de escalada de privilegios locales de alta gravedad que afecta a múltiples productos en sistemas que ejecutan Windows 10 y versiones posteriores o Windows Server 2016 y superiores.

El defecto (CVE-2021-37852) fue reportado por Michael DePlante de la Iniciativa Zero Day de Trend Micro, y permite a los atacantes escalar privilegios a derechos de cuenta NT AUTHORITY\SYSTEM (el nivel más alto de privilegios en un sistema Windows) utilizando la Interfaz de Escaneo Antimalware de Windows (AMSI).

AMSI se introdujo por primera vez con Windows 10 Technical Preview en 2015, y permite a las aplicaciones y servicios solicitar análisis de búfer de memoria desde cualquier producto antivirus importante instalado en el sistema.

Según ESET, esto solo se puede lograr después de que los atacantes obtengan los derechos SeImpersonatePrivilege, normalmente asignados a los usuarios del grupo local de Administradores y la cuenta de Servicio local del dispositivo para hacerse pasar por un cliente después de la autenticación, lo que debería «limitar el impacto de esta vulnerabilidad».

Sin embargo, el aviso de ZDI dice que los atacantes solo están obligados a «obtener la capacidad de ejecutar código de bajo privilegio en el sistema de destino», lo que coincide con la calificación de gravedad CVSS de ESET, lo que también muestra que el error puede ser explotado por actores de amenazas con bajos privilegios.

Si bien ESET dijo que solo se enteró de este error el 18 de noviembre, una línea de tiempo de divulgación disponible en el aviso de ZDI revela que la vulnerabilidad se informó cuatro meses antes, el 18 de junio de 2021.

Productos ESET afectados

La lista de productos afectados por esta vulnerabilidad es bastante larga e incluye:

• ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security y ESET Smart Security Premium de la versión 10.0.337.1 a 15.0.18.0
• ESET Endpoint Antivirus para Windows y ESET Endpoint Security para Windows desde la versión 6.6.2046.0 hasta 9.0.2032.4
• ESET Server Security para Microsoft Windows Server 8.0.12003.0 y 8.0.12003.1, ESET File Security para Microsoft Windows Server de la versión 7.0.12014.0 a 7.3.12006.0
• ESET Server Security para Microsoft Azure de la versión 7.0.12016.1002 a 7.2.12004.1000
• ESET Security para Microsoft SharePoint Server de la versión 7.0.15008.0 a 8.0.15004.0
• ESET Mail Security para IBM Domino de la versión 7.0.14008.0 a 8.0.14004.0
• ESET Mail Security para Microsoft Exchange Server de la versión 7.0.10019 a 8.0.10016.0

También se aconseja a los usuarios de ESET Server Security para Microsoft Azure que actualicen inmediatamente ESET File Security para Microsoft Azure a la última versión disponible de ESET Server Security para Microsoft Windows Server para abordar el defecto.

El fabricante de antivirus lanzó múltiples actualizaciones de seguridad entre el 8 de diciembre y el 31 de enero para abordar esta vulnerabilidad, cuando parcheó el último producto vulnerable expuesto a ataques.

Afortunadamente, ESET no encontró evidencia de hazañas diseñadas para atacar productos afectados por este error de seguridad en la naturaleza.

«La superficie de ataque también se puede eliminar deshabilitando la opción Habilitar escaneo avanzado a través de AMSI en la configuración avanzada de los productos ESET», agregó ESET.

«Sin embargo, ESET recomienda encarecidamente realizar una actualización a una versión fija del producto y solo aplicar esta solución alternativa cuando la actualización no sea posible por una razón importante».