ESET : une faille permet d’obtenir les privilèges SYSTEM sur Windows
L'éditeur de solutions de sécurité ESET a publié des mises à jour de sécurité pour certains de ses produits afin de corriger une faille de sécurité critique, cette dernière permettant d'obtenir les droits SYSTEM sur Windows.
Identifiée à la référence CVE-2021-37852, cette vulnérabilité touche Windows 10 et Windows 11, ainsi que toutes les versions de Windows Server à partir de Windows Server 2016. Remontée à ESET par Michael DePlante de l'équipe Zero Day Initiative de Trend Micro, il s'agit d'une faille permettant une élévation de privilèges sur la machine locale afin d'obtenir les privilèges les plus élevés : NT AUTHORITY\SYSTEM.
Pour effectuer cette élévation de privilèges, il exploite une faille au sein de Windows Antimalware Scan Interface (AMSI). Il s'agit d'un composant introduit en 2015 lors des premières preview de Windows 10, et il permet aux applications et aux services de demander des analyses de la mémoire tampon à partir d'un antivirus installé sur la machine.
D'après ESET, pour exploiter cette vulnérabilité il faut d'abord que les attaquants aient obtenu les droits "SeImpersonatePrivilege", normalement attribués aux utilisateurs du groupe Administrateurs locaux, et ce qui permet de faire de l'usurpation d'identité en quelque sorte. Sauf que la ZDI de Trend Micro n'est pas du même avis... D'après eux, l'attaquant a seulement besoin de pouvoir exécuter du code avec un faible niveau de privilèges sur la machine, comme un utilisateur lambda, disons.
Ce qui est étonnant aussi, c'est qu'ESET affirme avoir découvert ce bug de sécurité le 18 novembre 2021, sauf que si l'on regarde la chronologie des événements au sein du bulletin publié sur le site de la ZDI, on peut voir la date du 18 juin 2021 : "2021-06-18 - Vulnerability reported to vendor".
CVE-2021-37852 : les produits ESET concernés par cette faille
Dans tous les cas, peu importe, si vous utilisez l'un des produits ESET ci-dessous il va falloir patcher vos machines. ESET a publié différentes mises à jour entre 8 décembre 2021 et le 31 janvier 2022.
- ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security, et ESET Smart Security Premium de la version 10.0.337.1 à 15.0.18.0
- ESET Endpoint Antivirus for Windows and ESET Endpoint Security for Windows de la version 6.6.2046.0 à 9.0.2032.4
- ESET Server Security for Microsoft Windows Server 8.0.12003.0 et 8.0.12003.1
- ESET File Security for Microsoft Windows Server de la version 7.0.12014.0 à 7.3.12006.0
- ESET Server Security for Microsoft Azure de la version 7.0.12016.1002 à 7.2.12004.1000
- ESET Security for Microsoft SharePoint Server de la version 7.0.15008.0 à 8.0.15004.0
- ESET Mail Security for IBM Domino de la version 7.0.14008.0 à 8.0.14004.0
- ESET Mail Security for Microsoft Exchange Server de la version 7.0.10019 à 8.0.10016.0
Pour le moment, ESET n'a pas trouvé de preuve que cette faille de sécurité était exploitée lors d'attaques, mais maintenant qu'elle va faire parler d'elle, les choses pourraient changer alors je vous recommande de ne pas attendre avant de passer à l'action afin d'installer la mise à jour. 🙂
Dans le cas où la mise à niveau du produit n'est pas possible dans l'immédiat, ESET précise qu'il est possible de se protéger en désactivant l'option "Enable advanced scanning via AMSI" dans les paramètres avancés de l'Endpoint.