ESET Antivirüs Hatası, Saldırganların Windows SYSTEM Ayrıcalıkları Kazanmasına İzin Veriyor

Slovak internet güvenlik firması ESET, Windows 10 ve sonraki sürümleri veya Windows Server 2016 ve sonraki sürümleri çalıştıran sistemlerde birden çok ürünü etkileyen yüksek önem derecesine sahip yerel ayrıcalık yükseltme güvenlik açığını gidermek için güvenlik yaması yayınladı.

Trend Micro’nun Zero Day girişiminden Michael DePlante tarafından bildirilen hata (CVE-2021-37852) saldırganların Windows Antimalware Tarama Arayüzü’nü (AMSI) kullanarak ayrıcalıkları NT AUTHORITY\SYSTEM yetkilerine (bir Windows sistemindeki en yüksek ayrıcalık düzeyi) yükseltmesine olanak tanıyor.

AMSI, ilk olarak 2015 yılında Windows 10 Technical Preview ile tanıtıldı. Arayüz, uygulamaların ve hizmetlerin sistemde yüklü olan herhangi bir büyük antivirüs ürününden bellek buffer taramaları istemesine izin veriyor.

ESET’e göre bu, ancak saldırganlar kimlik doğrulamasından sonra bir istemcinin kimliğine bürünmek için normalde yerel Administrators grubundaki kullanıcılara ve aygıtın yerel Hizmet hesabına atanan ve “bu güvenlik açığının etkisini sınırlaması gereken” SeImpersonatePrivilege haklarını elde ettikten sonra gerçekleştirilebilir.

Bununla birlikte ZDI’nin makalesinde, saldırganların yalnızca “hedef sistemde düşük ayrıcalıklı kod yürütme yeteneği elde edebilecekleri” söyleniyor. Bu açıklama, ESET’in açıkladığı CVSS önem derecesi ile eşleşiyor ve aynı zamanda hatanın düşük ayrıcalıklara sahip tehdit aktörleri tarafından istismar edilebileceğini gösteriyor.

ESET, bu hatayı 18 Kasım’da öğrendiğini açıklasa da, ZDI’nin makalesinde bulunan zaman çizelgesi, güvenlik açığının dört ay önce, 18 Haziran 2021’de bildirildiğini ortaya koyuyor.

Etkilenen ESET ürünleri

Bu güvenlik açığından etkilenen ürünlerin listesi ise oldukça uzun:

• ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security ve ESET Smart Security Premium sürüm 10.0.337.1’den 15.0.18.0’a kadar.
• ESET Endpoint Antivirus for Windows ve ESET Endpoint Security for Windows 6.6.2046.0’dan 9.0.2032.4’e kadar.
• Microsoft Windows Server için ESET Server Security 8.0.12003.0 ve 8.0.12003.1, Microsoft Windows Server için ESET File Security 7.0.12014.0’dan 7.3.12006.0’a kadar.
• Microsoft Azure için ESET Server Security 7.0.12016.1002’den 7.2.12004.1000’e kadar.
• Microsoft SharePoint Server için ESET Security 7.0.15008.0 sürümünden 8.0.15004.0 sürümüne kadar.
• IBM Domino için ESET Mail Security 7.0.14008.0 sürümünden 8.0.1404.0 sürümüne kadar.
• Microsoft Exchange Server için ESET Mail Security 7.0.10019 sürümünden 8.0.10016.0’a kadar.

Microsoft Azure için ESET Server Security kullanıcılarının, kusuru gidermek için ESET File Security’yi hemen mevcut en son sürüme güncellemeleri öneriliyor.

Antivirüs üreticisi, saldırılara maruz kalan son savunmasız ürün için de yama yayınlarken bu güvenlik açıklarını gidermek için 8 Aralık ile 31 Ocak arasında birden çok güvenlik güncellemesi yayınladı.

Neyse ki ESET, bu zamana kadar bu güvenlik açığının aktif olarak kullanıldığına dair sağlam bir kanıt bulamadı.

Firma, konu ile ilgili yapmış olduğu açıklamada şu ifadeleri kullandı: “ESET ürünlerinin Gelişmiş ayarlarında AMSI ile gelişmiş taramayı etkinleştir seçeneği devre dışı bırakılarak da saldırı yüzeyi ortadan kaldırılabilir.”

“Ancak ESET, bu geçici çözüm ile kalmayıp, ürünleri kararlı bir sürüme güncellenmesini şiddetli bir şekilde tavsiye ediyor.”

Kaynak: bleepingcomputer.com
Diğer Haberler

Microsoft, Windows 10 İçin İsteğe Bağlı Güncellemeler Yayınladı
UEFI Zafiyeti 25 Üreticiyi Etkiliyor
MuddyWater Hacker Grubu Türkiye’deki Özel ve Devlet Kurumlarını Hedef Almaya Başladı