باگ آنتی ویروس ESET هکرها را قادر می‌سازد تا به مجوزهای ویندوز، دسترسی پیدا کنند

آسیب‌پذیری بحرانی در آنتی ویروس شرکت ESET

شرکت امنیت سایبری ESET به روز رسانی‌هایی امنیتی را برای برطرف کردن آسیب‌پذیری شدید «ارتقاء سطح دسترسی محلی» (Local Privilege Escalation) در سیستم‌های دارای ویندوز ۱۰ یا نسخه‌های جدیدتر ویندوز و نیز سیستم‌های دارای ویندوز سرور ۲۰۱۶ یا نسخه‌های جدیدتر آن، منتشر کرده است.

مایکل دپلانته (Michael DePlante) از تیم Zero Day Initiative شرکت Trend Micro، این نقص امنیتی (CVE-2021-37852) را گزارش کرد. این آسیب‌پذیری مهاجمان را قادر می‌سازد تا با استفاده از رابط اسکن ضد بدافزار ویندوز (Windows Antimalware Scan Interface) یا AMSI، سطح دسترسی خود را به مجوزهای حساب کاربری NT AUTHORITY\SYSTEM ارتقاء دهند که بالاترین سطح دسترسی در سیستم عامل ویندوز است.

قابلیت AMSI که برای اولین بار در نسخه Technical Preview ویندوز ۱۰ در سال ۲۰۱۵، معرفی شد، امکان درخواست اسکن بافر حافظه توسط آنتی ویروس نصب شده روی سیستم را به نرم‌افزارها و سرویس‌ها می‌دهد.

به گفته واحد پشتیبانی ESET، در ۱۸ نوامبر ۲۰۲۱، تیم Zero Day Initiative گزارش داد که اگر مهاجمی بتواند به مجوز SeImpersonatePrivilege دسترسی پیدا کند، می‌تواند با سوء استفاده از قابلیت AMSI، در بعضی موارد، سطح دسترسی خودش را به NT AUTHORITY\SYSTEM افزایش دهد. مجوز SeImpersonatePrivilege در حالت پیشفرض، در اختیار گروه ادمین‌های محلی و حساب‌های کاربری سرویس محلی قرار دارد که سطح دسترسی بالایی دارند و در نتیجه، تأثیر این آسیب‌پذیری، خیلی زیاد نیست.

با این حال، به گفته واحد مشاوره Zero Day Initiative، فقط کافی است که مهاجمان بتوانند کد دسترسی پایین را در سیستم هدف، اجرا کنند. بنابراین، آسیب‌پذیری مورد نظر با سیستم امتیازدهی شدت CVSS شرکت ESET انطباق دارد و نشان می‌دهد که حتی هکرهای دارای سطح دسترسی پایین نیز می‌توانند از این آسیب‌پذیری، سوء استفاده کنند.

با اینکه ESET ادعا کرده که در ۱۸ نوامبر از این نقص امنیتی اطلاع پیدا کرده است، اما بیانیه واحد مشاوره ZDI نشان می‌دهد که آسیب‌پذیری مورد نظر، ۴ ماه قبل، یعنی در ۱۸ ژوئن ۲۰۲۱ گزارش شده است.

این آسیب‌پذیری در کدام محصولات ESET وجود دارد؟

فهرست محصولاتی که باگ امنیتی گفته شده در آن‌ها وجود دارد به شرح زیر است:

• آنتی ویروس ESET NOD32،  ESET Internet Security، ESET Smart Security و  ESET Smart Security Premium از نسخه ۱۰.۰.۳۳۷.۱ تا نسخه ۱۵.۰.۱۸.۰
• آنتی ویروس اندپوینت ESET برای ویندوز و ESET Endpoint Security برای ویندوز از نسخه ۶.۶.۲۰۴۶.۰ تا نسخه ۹.۰.۲۰۳۲.۴
• ESET Server Security برای مایکروسافت ویندوز سرور نسخه ۸.۰.۱۲۰۰۳.۰ و نسخه ۸.۰.۱۲۰۰۳.۱، ESET File Security برای مایکروسافت ویندوز سرور از نسخه ۷.۰.۱۲۰۱۴.۰ تا نسخه ۷.۳.۱۲۰۰۶.۰
• ESET Server Security برای مایکروسافت آژور از نسخه ۷.۰.۱۲۰۱۶.۱۰۰۲ تا نسخه ۷.۲.۱۲۰۰۴.۱۰۰۰
• ESET Security برای مایکروسافت شیرپوینت سرور از نسخه ۷.۰.۱۵۰۰۸.۰ تا نسخه ۸.۰.۱۵۰۰۴.۰
• ESET Mail Security برای IBM Domino از نسخه ۷.۰.۱۴۰۰۸.۰ تا نسخه ۸.۰.۱۴۰۰۴.۰
• ESET Mail Security برای مایکروسافت اکسچنج سرور از نسخه ۷.۰.۱۰۰۱۹ تا نسخه ۸.۰.۱۰۰۱۶.۰

به کاربران ESET Server Security برای مایکروسافت آژور نیز توصیه می‌شود که در اسرع وقت، ESET File Security را برای مایکروسافت آژور به آخرین نسخه ESET Server Security برای مایکروسافت ویندوز سرور، به روز رسانی کنند تا این باگ امنیتی برطرف شود.

این تولید کننده آنتی ویروس، چندین به روز رسانی‌های امنیتی را از تاریخ ۸ دسامبر ۲۰۲۱ تا ۳۱ ژانویه سال جاری منتشر کرده است تا آسیب‌پذیری یاد شده را برطرف کند.

خوشبختانه، ESET هیچ مدرکی مبنی بر طراحی اکسپلویت برای هدف قرار دادن محصولات دارای آسیب‌پذیری مورد نظر در خارج از آزمایشگاه‌های امنیت سایبری، پیدا نکرده است.

این شرکت در بیانیه خودش اضافه کرده است که «می‌توان با غیرفعال کردن اسکن پیشرفته از طریق گزینه AMSI در محصولات ESET در تنظیمات پیشرفته این محصولات، سطح حمله (Attack Surface) را حذف کرد. با این حال، ESET، شدیدا توصیه می‌کند که به روز رسانی به نسخه‌ای پچ شده را انجام دهید و پیشنهاد می‌شود که تنها زمانی از راه حل بالا استفاده کنید که به دلیلی موجه، به نسخه به روز رسانی شده، دسترسی نداشته باشید».