Perusahaan keamanan internet Slovakia ESET merilis perbaikan keamanan untuk mengatasi peningkatan kerentanan hak istimewa lokal (local privilege) tingkat keparahan tinggi yang memengaruhi banyak produk pada sistem yang menjalankan Windows 10 dan yang lebih baru atau Windows Server 2016 dan yang lebih baru.
Celah (CVE-2021-37852) dilaporkan oleh Michael DePlante dari Zero Day Initiative Trend Micro, memungkinkan penyerang untuk meningkatkan hak istimewa ke hak akun NT AUTHORITY\SYSTEM (tingkat hak istimewa tertinggi pada sistem Windows) menggunakan Windows Antimalware Scan Interface (AMSI).
AMSI pertama kali diperkenalkan oleh Windows 10 Technical Preview pada tahun 2015, yang memungkinkan aplikasi dan layanan untuk meminta pemindaian buffer memori dari produk antivirus utama apa pun yang diinstal pada sistem.
Menurut ESET, ini hanya dapat dicapai setelah penyerang mendapatkan hak SeImpersonatePrivilege, biasanya diberikan kepada pengguna di grup Administrator lokal dan akun Layanan lokal perangkat untuk menyamar sebagai klien setelah otentikasi yang seharusnya "membatasi dampak kerentanan ini."
Namun, laporan ZDI mengatakan penyerang hanya diminta untuk "mendapatkan kemampuan untuk mengeksekusi kode dengan hak istimewa rendah (low-privileged) pada sistem target," yang cocok dengan tingkat keparahan CVSS ESET juga menunjukkan bahwa bug dapat dieksploitasi oleh aktor ancaman dengan hak istimewa rendah.
Sementara ESET mengatakan mereka baru mengetahui bug ini pada 18 November, timeline pengungkapan yang tersedia di laporan ZDI mengungkapkan bahwa kerentanan dilaporkan empat bulan sebelumnya, pada 18 Juni 2021.
Celah (CVE-2021-37852) dilaporkan oleh Michael DePlante dari Zero Day Initiative Trend Micro, memungkinkan penyerang untuk meningkatkan hak istimewa ke hak akun NT AUTHORITY\SYSTEM (tingkat hak istimewa tertinggi pada sistem Windows) menggunakan Windows Antimalware Scan Interface (AMSI).
AMSI pertama kali diperkenalkan oleh Windows 10 Technical Preview pada tahun 2015, yang memungkinkan aplikasi dan layanan untuk meminta pemindaian buffer memori dari produk antivirus utama apa pun yang diinstal pada sistem.
Menurut ESET, ini hanya dapat dicapai setelah penyerang mendapatkan hak SeImpersonatePrivilege, biasanya diberikan kepada pengguna di grup Administrator lokal dan akun Layanan lokal perangkat untuk menyamar sebagai klien setelah otentikasi yang seharusnya "membatasi dampak kerentanan ini."
Namun, laporan ZDI mengatakan penyerang hanya diminta untuk "mendapatkan kemampuan untuk mengeksekusi kode dengan hak istimewa rendah (low-privileged) pada sistem target," yang cocok dengan tingkat keparahan CVSS ESET juga menunjukkan bahwa bug dapat dieksploitasi oleh aktor ancaman dengan hak istimewa rendah.
Sementara ESET mengatakan mereka baru mengetahui bug ini pada 18 November, timeline pengungkapan yang tersedia di laporan ZDI mengungkapkan bahwa kerentanan dilaporkan empat bulan sebelumnya, pada 18 Juni 2021.
Produk ESET yang terpengaruh
Daftar produk yang terkena dampak kerentanan ini cukup panjang, termasuk:
- ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security, dan ESET Smart Security Premium dari versi 10.0.337.1 hingga 15.0.18.0
- ESET Endpoint Antivirus untuk Windows dan ESET Endpoint Security untuk Windows dari versi 6.6.2046.0 hingga 9.0.2032.4
- Keamanan Server ESET untuk Microsoft Windows Server 8.0.12003.0 dan 8.0.12003.1, Keamanan File ESET untuk Microsoft Windows Server dari versi 7.0.12014.0 hingga 7.3.12006.0
- Keamanan Server ESET untuk Microsoft Azure dari versi 7.0.12016.1002 hingga 7.2.12004.1000
- Keamanan ESET untuk Microsoft SharePoint Server dari versi 7.0.15008.0 hingga 8.0.15004.0
- ESET Mail Security untuk IBM Domino dari versi 7.0.14008.0 hingga 8.0.14004.0
- ESET Mail Security untuk Microsoft Exchange Server dari versi 7.0.10019 hingga 8.0.10016.0
- Pengguna Keamanan Server ESET untuk Microsoft Azure juga disarankan untuk segera memperbarui Keamanan File ESET Microsoft Azure ke versi terbaru Keamanan Server ESET Microsoft Windows Server untuk mengatasi kelemahan tersebut.
Pembuat antivirus merilis beberapa pembaruan keamanan antara 8 Desember dan 31 Januari untuk mengatasi kerentanan ini, ketika menambal produk rentan terakhir yang terkena serangan.
Untungnya, ESET tidak menemukan bukti eksploitasi yang dirancang untuk menargetkan produk yang terpengaruh oleh bug keamanan ini di luar.
"Permukaan serangan juga dapat dihilangkan dengan menonaktifkan opsi Aktifkan pemindaian lanjutan melalui AMSI di pengaturan Lanjutan produk ESET," tambah ESET.
"Namun, ESET sangat menyarankan untuk melakukan pemutakhiran ke versi produk tetap dan hanya menerapkan solusi ini jika pemutakhiran tidak memungkinkan karena alasan penting."
- ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security, dan ESET Smart Security Premium dari versi 10.0.337.1 hingga 15.0.18.0
- ESET Endpoint Antivirus untuk Windows dan ESET Endpoint Security untuk Windows dari versi 6.6.2046.0 hingga 9.0.2032.4
- Keamanan Server ESET untuk Microsoft Windows Server 8.0.12003.0 dan 8.0.12003.1, Keamanan File ESET untuk Microsoft Windows Server dari versi 7.0.12014.0 hingga 7.3.12006.0
- Keamanan Server ESET untuk Microsoft Azure dari versi 7.0.12016.1002 hingga 7.2.12004.1000
- Keamanan ESET untuk Microsoft SharePoint Server dari versi 7.0.15008.0 hingga 8.0.15004.0
- ESET Mail Security untuk IBM Domino dari versi 7.0.14008.0 hingga 8.0.14004.0
- ESET Mail Security untuk Microsoft Exchange Server dari versi 7.0.10019 hingga 8.0.10016.0
- Pengguna Keamanan Server ESET untuk Microsoft Azure juga disarankan untuk segera memperbarui Keamanan File ESET Microsoft Azure ke versi terbaru Keamanan Server ESET Microsoft Windows Server untuk mengatasi kelemahan tersebut.
Pembuat antivirus merilis beberapa pembaruan keamanan antara 8 Desember dan 31 Januari untuk mengatasi kerentanan ini, ketika menambal produk rentan terakhir yang terkena serangan.
Untungnya, ESET tidak menemukan bukti eksploitasi yang dirancang untuk menargetkan produk yang terpengaruh oleh bug keamanan ini di luar.
"Permukaan serangan juga dapat dihilangkan dengan menonaktifkan opsi Aktifkan pemindaian lanjutan melalui AMSI di pengaturan Lanjutan produk ESET," tambah ESET.
"Namun, ESET sangat menyarankan untuk melakukan pemutakhiran ke versi produk tetap dan hanya menerapkan solusi ini jika pemutakhiran tidak memungkinkan karena alasan penting."

Post a Comment
Post a Comment