Plataforma
windows
Componente
webroot-antivirus
Corregido en
9.0.35.17
CVE-2023-7241 describe una vulnerabilidad de elevación de privilegios en WRSA.EXE, el ejecutable principal de Webroot Antivirus. Esta falla permite a software malicioso abusar de WRSA.EXE para eliminar archivos protegidos y arbitrarios en sistemas Windows. La vulnerabilidad afecta a las versiones 8.0.1X hasta la 9.0.35.12 de Webroot Antivirus, y se ha solucionado en la versión 9.0.35.17.
La explotación exitosa de esta vulnerabilidad podría permitir a un atacante obtener control total sobre el sistema afectado. Al poder eliminar archivos protegidos, un atacante podría deshabilitar funcionalidades de seguridad críticas, comprometer la integridad del sistema operativo, o incluso tomar el control completo del equipo. El impacto es particularmente grave en entornos donde Webroot Antivirus se utiliza como una capa de defensa principal, ya que la vulnerabilidad podría permitir a un atacante evadir las protecciones del antivirus y comprometer el sistema sin ser detectado. Esta capacidad de eliminación arbitraria de archivos representa un riesgo significativo para la confidencialidad, integridad y disponibilidad de los datos almacenados en el sistema.
CVE-2023-7241 fue publicado el 1 de mayo de 2024. No se ha reportado explotación activa en la naturaleza, pero la naturaleza de la vulnerabilidad (elevación de privilegios) la convierte en un objetivo atractivo para los atacantes. La vulnerabilidad no se encuentra en el KEV de CISA al momento de la redacción. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier indicio de explotación.
Organizations using Webroot Antivirus in environments with sensitive data or critical infrastructure are particularly at risk. Systems with legacy configurations or those that haven't been regularly patched are also more vulnerable. Shared hosting environments where multiple users share the same server could potentially be affected if one user's compromised account exploits this vulnerability.
• windows / supply-chain:
Get-Process -Name WRSA | Select-Object -ExpandProperty Path• windows / supply-chain:
Get-WinEvent -LogName Application -Filter "EventID=1001 and Source='Webroot'"• windows / supply-chain: Check Autoruns for unusual entries related to WRSA.EXE or Webroot Antivirus. • windows / supply-chain: Use Sysinternals Process Monitor to monitor WRSA.EXE's file system activity.
disclosure
Estado del Exploit
EPSS
0.05% (15% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2023-7241 es actualizar Webroot Antivirus a la versión 9.0.35.17 o superior. Si la actualización causa problemas de compatibilidad, se recomienda contactar con el soporte técnico de Webroot para obtener asistencia. Como medida temporal, se puede considerar la restricción de permisos para el usuario bajo el cual se ejecuta WRSA.EXE, aunque esto podría afectar a su funcionalidad. Monitorear los logs del sistema en busca de actividad inusual relacionada con WRSA.EXE también puede ayudar a detectar posibles intentos de explotación. Después de la actualización, confirme que WRSA.EXE se está ejecutando con la versión corregida verificando la información de la versión en la interfaz de usuario de Webroot Antivirus.
Actualice Webroot Antivirus a la última versión disponible. Consulte el sitio web del proveedor para obtener la versión más reciente y las instrucciones de actualización. Esto mitiga la vulnerabilidad de escalada de privilegios.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2023-7241 is a vulnerability in Webroot Antivirus versions 8.0.10–9.0.35.12 that allows malicious software to delete protected files, potentially leading to system compromise.
You are affected if you are running Webroot Antivirus versions 8.0.10 through 9.0.35.12. Check your version and upgrade immediately.
Upgrade to Webroot Antivirus version 9.0.35.17 or later to resolve this vulnerability. Consider temporary permission restrictions if an immediate upgrade is not possible.
Currently, there is no confirmed active exploitation, but the vulnerability's nature suggests a potential for exploitation.
Refer to the official Webroot security advisory for detailed information and updates: [https://www.webroot.com/us/en/resources/alerts/2024/05/23-001.html](https://www.webroot.com/us/en/resources/alerts/2024/05/23-001.html)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.