ESET アンチウイルス製品の脆弱性が FIX:Windows SYSTEM への権限昇格

ESET antivirus bug let attackers gain Windows SYSTEM privileges

2022/02/02 BleepingComputer — スロバキアのインターネット・セキュリティ企業である ESET は、Windows 10 および Windows Server 2016 以降を実行するシステム上の複数の製品に影響する、深刻度の高いローカル特権昇格の脆弱性に対応する、セキュリティ修正プログラムを公開した。

この脆弱性 CVE-2021-37852 は、Trend Micro の Zero Day Initiative (ZDI) の Michael DePlante により報告されたものであり、Windows Antimalware Scan Interface (AMSI) を使用する攻撃者に対して、NT AUTHORITY\SYSTEM アカウント権限 (Windows システム上の最高レベルの権限) への昇格を許してしまうというものだ。

AMSI は、2015年の Windows 10 Technical Preview で初めて導入されたものであり、アプリやサービスから、システムにインストールされているアンチウイルス製品に対して、メモリバッファのスキャンを要求できるものである。

ESET によると、通常はローカルの Administrators グループのユーザーに割り当てられている SeImpersonatePrivilege 権限を、攻撃者が獲得することで、デバイスの Local Service アカウントで認証した後に、クライアントに成りすますことで成立するものであり、「この脆弱性の影響は限定的だ」としている。

しかし、ZDI のアドバイザリによると、攻撃者は「ターゲット・システム上で低権限のコード実行する能力を得る」だけでよいとされている。これは ESET の CVSS 深刻度評価と一致しており、このバグが低権限だけを持つ脅威アクターにより悪用される可能性があることを示している。

このバグについて ESET は、11月18日に初めて知ったと述べているが、ZDI のアドバイザリに掲載されている情報開示のタイムラインを見ると、この脆弱性は 4ヶ月前の 2021年6月18日に報告されている。

影響を受ける ESET 製品

この脆弱性の影響を受ける製品リストは非常に長く、以下のものが含まれている。

  • ESET NOD32 Antivirus/ESET Internet Security/ESET Smart Security/ESET Smart Security Premium の Ver 10.0.337.1〜15.0.18.0
  • ESET Endpoint Antivirus for Windows/ESET Endpoint Security for Windows の Ver 6.6.2046.0〜9.0.2032.4
  • ESET Server Security for Microsoft Windows Server の Ver 8.0.1203.0 と 8.0.1203.1/ESET File Security for Microsoft Windows Server の Ver 7.0.12014.0〜7.3.1206.0
  • ESET Server Security for Microsoft Azure の Ver 7.0.12016.1002〜7.2.1264.1000
  • ESET Security for Microsoft SharePoint Server の Ver 7.0.15008.0〜8.0.15004.0
  • ESET Mail Security for IBM Domino の Ver 7.0.14008.0〜8.0.14004.0
  • ESET Mail Security for Microsoft Exchange Server の Ver 7.0.10019〜8.0.10016.0

    また、ESET Server Security for Microsoft Azure のユーザーに対して、この欠陥に対処するために、最新バージョンの ESET Server Security for Microsoft Windows Server に更新することが推奨されている。

    ESET は、12月8日から 1月31日にかけて、この脆弱性に対処する複数のセキュリティ・アップデートをリリースしている。幸いなことに ESET は、このセキュリティ・バグの影響を受ける製品を標的とする、エクスプロイトが存在するという証拠を発見していない。

    ESET は、ESET 製品の詳細設定で、AMSI による高度なスキャンを有効にするオプションを無効にすることで、攻撃対象を排除することも可能だ。しかし、修正された製品バージョンへのアップグレードがベストであり、何らかの理由でアップグレードができない場合にのみ、この回避策を適用することを強く推奨する」と述べている。

アンチウイルス製品の脆弱性は怖いですね。この ESET の問題は、Microsoft が提供する Antimalware Scan Interface (AMSI) に関連するもので、影響の範囲は限定的とされていますが、Zero Day Initiative (ZDI) は違う見立てをしているようです。脆弱性 CVE-2021-37852 について、お隣のキュレーション・チームに聞いてみましたが、2月4日にレポートがアップされているとのことでした。