Une élévation de privilège corrigée dans les produits ESET.

Une élévation de privilège corrigée dans certains produits de la solution de sécurité ESET.

Une vulnérabilité d’élévation des privilèges locaux vient d’être corrigée dans les produits ESET pour Windows. Un rapport sur une vulnérabilité potentielle d’escalade de privilèges locaux a été soumis à ESET par Zero Day Initiative (ZDI). Cela permet potentiellement à un attaquant d’utiliser à mauvais escient la fonction d’analyse AMSI dans des cas spécifiques. ESET a atténué le problème et recommande d’utiliser les versions de produit les plus récentes. ESET a préparé les versions de produit corrigées suivantes qui ne sont pas sensibles à la vulnérabilité et recommande aux utilisateurs de les mettre à niveau dès que possible. (Sources)


Le Service Anti-Malware (AMSI) de Windows est une interface de programmation conçue pour aider à protéger les applications en détectant et en bloquant les scripts malveillants, les codes potentiellement dangereux et les attaques ciblées. Intégré dans Windows 10 et versions ultérieures, l'AMSI fournit une couche supplémentaire de défense contre les logiciels malveillants en permettant aux applications de demander une analyse de leur contenu avant son exécution.

La fonctionnalité AMSI est intégrée à certains composants de Windows, comme l'UAC, PowerShell, Office Macros VBA, Windows Script Host, JavaScript et VBScript. Cette technologie renforce la sécurité du système en offrant une surveillance en temps réel des activités suspectes, contribuant ainsi à prévenir les attaques et à protéger les utilisateurs contre les menaces en évolution constante.

Le bogue antivirus ESET permet aux attaquants d’obtenir les privilèges Windows SYSTEM. La société slovaque de sécurité Internet ESET a publié des correctifs de sécurité pour résoudre une vulnérabilité d’escalade de privilèges locaux de haute gravité affectant plusieurs produits sur des systèmes exécutant Windows 10 et versions ultérieures ou Windows Server 2016 et versions ultérieures.

La faille ( CVE-2021-37852 ) a été signalée par Michael DePlante de l’initiative Zero Day de Trend Micro, et elle permet aux attaquants d’élever les privilèges aux droits de compte NT AUTHORITY\SYSTEM (le plus haut niveau de privilèges sur un système Windows) en utilisant Windows Antimalware Interface de numérisation (AMSI). (Sources)


Les vulnérabilités Zero-day représentent l'une des menaces les plus sérieuses en informatique. Ces failles, encore inconnues des développeurs et des utilisateurs, sont exploitées par les cybercriminels avant qu'un correctif puisse être développé. L'impact peut être dévastateur, permettant aux attaquants d'accéder à des données sensibles, de prendre le contrôle de systèmes informatiques ou de propager des logiciels malveillants.

Les attaques Zero-day sont difficiles à anticiper et à contrer, mettant en lumière l'importance de la surveillance constante des systèmes, de l'application rapide des correctifs et de la mise en place de mesures de sécurité robustes pour atténuer les risques.

Les failles Zero-Day, souvent nommées "exploits" ne sont généralement pas utilisées dans les cyberattaques. L'objectif des attaquants est de tirer profit de ces vulnérabilités critiques en monnayant leur possible utilisation. Ce sont les grandes compagnies comme Microsoft ou Adobe ou encore les CES comme WordPress mais aussi les stockages des données dans le cloud qui sont la cible des cybermenaces de ces exploits. La découverte d'une faille critique est aussi rentable pour les hackers que l'exploitation d'un rançongiciel.

 

ESET : une faille permet d’obtenir les privilèges SYSTEM sur Windows. Pour effectuer cette élévation de privilèges, il exploite une faille au sein de Windows Antimalware Scan Interface (AMSI). Il s’agit d’un composant introduit en 2015 lors des premières preview de Windows 10, et il permet aux applications et aux services de demander des analyses de la mémoire tampon à partir d’un antivirus installé sur la machine. (Sources)

Vulnérabilité dans les produits ESET. Une vulnérabilité a été découverte dans les produits ESET. Elle permet à un attaquant de provoquer une élévation de privilèges. (Sources)


L'élévation de privilège en informatique désigne le processus par lequel un utilisateur ou un programme obtient des droits d'accès supérieurs à ceux qui lui sont normalement accordés. Cela peut être intentionnel, comme lorsqu'un administrateur accorde temporairement des privilèges à un utilisateur pour effectuer une tâche spécifique, ou involontaire, souvent exploitée par des pirates pour compromettre un système. Les vulnérabilités logicielles et les failles de sécurité sont souvent exploitées pour réaliser des élévations de privilèges, mettant ainsi en danger la confidentialité et l'intégrité des données.

L'administrateur peut reconfigurer le système d'exploitation. Il peut gérer les autorisations d'accès au réseau. Il surveille le système, gère la sécurité et automatise certaines tâches. Toutes ces fonctions présentent un risque pour les systèmes infectés et une atteinte à la politique de sécurité. Pour prévenir de telles attaques, il est essentiel de maintenir à jour les logiciels et d'appliquer des bonnes pratiques en matière de sécurité informatique.


Les antivirus sont des logiciels conçus pour détecter, prévenir et supprimer les programmes malveillants, tels que les virus, les vers et les chevaux de Troie, qui menacent la sécurité des systèmes informatiques. En surveillant en temps réel l'activité du système, les antivirus peuvent identifier et bloquer les menaces potentielles, protégeant ainsi les utilisateurs contre les attaques informatiques et la perte de données.

En plus de la détection proactive des logiciels malveillants, de nombreux antivirus offrent des fonctionnalités supplémentaires telles que la protection contre les logiciels espions, les pare-feu et les analyses de vulnérabilités pour renforcer la sécurité des utilisateurs. On distingue les antivirus résidents qui travaillent en tâche de fond et les autres comme par exemple ceux qui font des analyses en ligne. La détection se fait selon une analyse par signatures et une analyse heuristique.

En résumé, les antivirus jouent un rôle crucial dans la protection des systèmes informatiques contre les cybermenaces.


Les CERT (Computer Emergency Response Teams) sont des centres d'alerte et de réaction aux attaques informatiques, destinés aux entreprises ou aux administrations, mais dont les informations sont généralement accessibles à tous. Les tâches prioritaires d'un CERT sont multiples. La centralisation des demandes d'assistance à la suite des incidents de sécurité sur les réseaux et les systèmes d'informations. Le traitement des alertes et réaction aux attaques informatiques. L'établissement et maintenance d'une base de donnée des vulnérabilités. La Prévention par diffusion d'informations. La coordination éventuelle avec les autres entités.


Bleeping Computer est un site Web couvrant l'actualité technologique et offrant une aide informatique gratuite via ses forums, qui a été créé par Lawrence Abrams en 2004. Avec plus de 700 000 membres enregistrés qui posent des questions et y répondent, BleepingComputer.com est devenu une communauté dynamique et animée de personnes partageant les mêmes idées.


Trend Micro est une société basée à Tokyo au Japon. La société développe des logiciels de sécurité pour les serveurs, les environnements de cloud computing, les particuliers et pour les petites et moyennes et entreprises. Trend Micro reçoit son intelligence de menace auprès de TrendLabs, le centre de recherche, de développement et de support de l'entreprise. TrendLabs compte dix laboratoires dans le monde entier et a son siège social aux Philippines et emploie 1 200 experts et ingénieurs en sécurité. Le laboratoire basé à Singapour de la société fournit des méthodes et des analyses de logiciels malveillants.

A propos de l'auteur

Retour en haut