Локальный (аутентифицированный) пользователь с низкими привилегиями может использовать поведение в установщике ESET для выполнения произвол…
Локальный (аутентифицированный) пользователь с низкими привилегиями может использовать поведение в установщике ESET для выполнения произвольной перезаписи (удаления) любого файла через символическую ссылку из-за небезопасных разрешений. Возможность использования этой уязвимости ограничена и может иметь место только на этапе установки продуктов ESET. Кроме того, эксплуатация может быть успешной только при отключенной самозащите. Уязвимые продукты: ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security, ESET Smart Security Premium версий 13.2 и ниже; ESET Endpoint Antivirus, ESET Endpoint Security, ESET NOD32 Antivirus Business Edition, ESET Smart Security Business Edition версий 7.3 и ниже; ESET File Security для Microsoft Windows Server, ESET Mail Security для Microsoft Exchange Server, ESET Mail Security для IBM Domino, ESET Security для Kerio, ESET Security для Microsoft SharePoint Server версий 7.2 и ниже.
В процессе установки разрешения для устанавливаемых файлов задаются таким образом, что любой пользователь может их изменять.
https://cwe.mitre.org/data/definitions/276.html →Открыть в коллекции CWE →В приложениях, особенно веб-приложениях, доступ к функциональности ограничивается системой авторизации. Эта система сопоставляет списки контроля доступа (ACL) с элементами функциональности приложения — в частности, с URL-адресами веб-приложений. Если администратор не задал ACL для определённого элемента, злоумышленник может получить к нему доступ безнаказанно. Злоумышленник, способный обращаться к функциональности, не ограниченной ACL должным образом, может получить конфиденциальную информацию и, возможно, скомпрометировать приложение целиком. Такой злоумышленник может обращаться к ресурсам, которые должны быть доступны только пользователям с более высоким уровнем привилегий, получать доступ к административным разделам приложения или выполнять запросы на получение данных, к которым у него не должно быть доступа.
https://capec.mitre.org/data/definitions/1.html →Открыть в коллекции CAPEC →Атаки типа «Фальсификация журналов веб-сервера» предполагают внедрение, удаление или иное изменение содержимого журналов веб-сервера злоумышленником, как правило, с целью сокрытия других вредоносных действий. Кроме того, запись вредоносных данных в файлы журналов может быть направлена против задач, фильтров, отчётов и других агентов, обрабатывающих журналы в асинхронном шаблоне атаки. Данный шаблон атаки схож с «Внедрением/фальсификацией/подделкой журналов», за исключением того, что в данном случае атака направлена на журналы веб-сервера, а не приложения.
https://capec.mitre.org/data/definitions/81.html →Открыть в коллекции CAPEC →Злоумышленник формирует запрос к цели, в результате которого та выводит/индексирует содержимое каталога. Один из распространённых методов получения содержимого каталога в виде вывода состоит в формировании запроса, содержащего путь, оканчивающийся именем каталога, а не именем файла, поскольку многие приложения настроены на вывод списка содержимого каталога при получении такого запроса. Злоумышленник может использовать это для изучения структуры каталогов цели, а также для получения имён файлов. Это нередко позволяет обнаружить тестовые файлы, резервные копии, временные файлы, скрытые файлы, конфигурационные файлы, учётные записи пользователей, содержимое сценариев, а также соглашения об именовании — всё это злоумышленник может использовать для проведения дальнейших атак.
https://capec.mitre.org/data/definitions/127.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| endpoint_antivirus | * | Отслеживается |
| endpoint_security | * | Отслеживается |
| file_security | * | Отслеживается |
| internet_security | * | Отслеживается |
| mail_security | * | Отслеживается |
| nod32_antivirus | * | Отслеживается |
| security | * | Отслеживается |
| smart_security | * | Отслеживается |