Phát hiện lỗ hổng trong phần mềm diệt virus ESET có thể cho phép hacker chiếm đặc quyền hệ thống trên Windows

Công ty bảo mật internet nổi tiếng ESET vừa gấp rút phát hành một loạt bản vá lỗi nhằm giải quyết triệt để một lỗ hổng bảo mật cục bộ có mức độ nghiêm trọng cao, ảnh hưởng đến nhiều sản phẩm phần mềm antivirus ESET chạy trên các hệ thống Windows 10 hoặc Windows Server 2016 trở lên trên toàn thế giới.

Lỗ hổng này có mã định danh theo dõi là CVE-2021-37852, được báo cáo đầu tiên bởi nhà nghiên cứu bảo mật Michael DePlante đến từ đội ngũ Trend Micro. Theo kết quả phân tích, đây được đánh giá là một lỗ hổng cực kỳ nguy hiểm bởi nó cho phép kẻ tấn công chiếm đoạt và nâng cấp đặc quyền lên quyền tài khoản NT AUTHORITY\SYSTEM (mức đặc quyền cao nhất trên hệ thống Windows), bằng cách lạm dụng Windows Antimalware Scan Interface (AMSI).

AMSI lần đầu tiên được giới thiệu cùng với Windows 10 Technical Preview vào năm 2015. Đây là công cụ được thiết kế để cho phép các ứng dụng và dịch vụ yêu cầu quét bộ đệm bộ nhớ từ bất kỳ phần mềm chống virus chính nào được cài đặt trên hệ thống.

Theo ESET, sự nguy hiểm chỉ có thể xuất hiện sau khi những kẻ tấn công giành được quyền SeImpersonatePrivilege, thường được gán cho người dùng trong nhóm Quản trị viên cục bộ (local Administrators) và tài khoản Dịch vụ cục bộ (local Service) của thiết bị để đóng giả một ứng dụng khách sau khi xác thực. Điều này sẽ "hạn chế tác động của lỗ hổng này". Điều này phần nào hạn chế tác động của lỗ hổng trong thực tế.

Tuy nhiên, khuyến cáo từ ZDI cho biết những kẻ tấn công cũng chỉ cần "có được khả năng thực thi mã đặc quyền thấp trên hệ thống mục tiêu" để lạm dụng lỗ hổng. Điều này phù hợp với xếp hạng mức độ nghiêm trọng CVSS của ESET, đồng thời cũng cho thấy rằng lỗ hổng hoàn toàn có thể bị khai thác bởi các tác nhân đe dọa có đặc quyền thấp.

ESET

Các sản phẩm ESET bị ảnh hưởng

Danh sách các sản phẩm phần mềm của ESET bị ảnh hưởng bởi lỗ hổng bảo mật này khá dài, bao gồm:

  • ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security và ESET Smart Security Premium từ phiên bản 10.0.337.1 đến 15.0.18.0.
  • ESET Endpoint Antivirus cho Windows và ESET Endpoint Security cho Windows từ phiên bản 6.6.2046.0 đến 9.0.2032.4.
  • ESET Server Security cho Microsoft Windows Server 8.0.12003.0 và 8.0.12003.1, ESET File Security cho Microsoft Windows Server từ phiên bản 7.0.12014.0 đến 7.3.12006.0.
  • ESET Server Security cho Microsoft Azure từ phiên bản 7.0.12016.1002 đến 7.2.12004.1000.
  • ESET Security cho Microsoft SharePoint Server từ phiên bản 7.0.15008.0 đến 8.0.15004.0.
  • ESET Mail Security cho IBM Domino từ phiên bản 7.0.14008.0 đến 8.0.14004.0.
  • ESET Mail Security cho Microsoft Exchange Server từ phiên bản 7.0.10019 đến 8.0.10016.0.

Người dùng ESET Server Security for Microsoft Azure cũng được khuyến cáo nên cập nhật ngay lập tức ESET File Security for Microsoft Azure lên phiên bản ESET Server Security for Microsoft Windows Server mới nhất hiện có để khắc phục vấn đề.

Phía ESET đã phát hành nhiều bản cập nhật bảo mật trong khoảng thời gian từ ngày 8 tháng 12 đến ngày 31 tháng 1 để giải quyết lỗ hổng này. Đây là một nỗ lực khá đáng ghi nhận. May mắn thay, ESET hiện không (chưa) tìm thấy bất cứ bằng chứng nào về việc lỗ hổng bị khai thác trong tự nhiên.

"Bề mặt tấn công cũng có thể được loại bỏ bằng cách tắt tùy chọn Enable advanced scanning qua AMSI trong Thiết lập nâng cao của các sản phẩm ESET. Tuy nhiên, chúng tôi thực sự khuyên bạn nên thực hiện nâng cấp lên phiên bản sản phẩm cố định và chỉ áp dụng giải pháp này khi không thể cập nhật phiên bản mới vì một lý do quan trọng nào đó”, khuyến cáo từ ESET cho biết.

Thứ Sáu, 04/02/2022 10:30
31 👨 483
0 Bình luận
Sắp xếp theo
    ❖ Tấn công mạng