Plateforme
windows
Composant
webroot-antivirus
Corrigé dans
9.0.35.17
La vulnérabilité CVE-2023-7241 est une escalade de privilèges affectant le logiciel Webroot Antivirus. Elle permet à un logiciel malveillant d'abuser du processus WRSA.EXE pour supprimer des fichiers arbitraires et protégés sur les systèmes Windows 32 et 64 bits. Les versions concernées sont les 8.0.1X et 9.0.35.12. Une correction est disponible dans la version 9.0.35.17.
Cette vulnérabilité permet à un attaquant de contourner les mécanismes de protection du système et de supprimer des fichiers critiques, compromettant ainsi l'intégrité du système. L'attaquant pourrait supprimer des fichiers système essentiels, des données utilisateur sensibles ou des fichiers de configuration, rendant le système inutilisable ou exposant des informations confidentielles. La capacité de supprimer des fichiers protégés représente un risque significatif pour la sécurité des données et la stabilité du système. L'exploitation réussie de cette vulnérabilité pourrait également permettre à un attaquant d'obtenir un contrôle total sur le système affecté, en supprimant les outils de sécurité et en installant des logiciels malveillants.
La vulnérabilité CVE-2023-7241 a été publiée le 1er mai 2024. Il n'y a pas d'indication d'une exploitation active à ce jour, ni de sa présence dans le catalogue KEV de CISA. Aucun proof-of-concept public n'est actuellement disponible, ce qui réduit le risque d'exploitation à court terme. La probabilité d'exploitation est considérée comme faible à modérée en l'absence de PoC.
Organizations using Webroot Antivirus in environments with sensitive data or critical infrastructure are particularly at risk. Systems with legacy configurations or those that haven't been regularly patched are also more vulnerable. Shared hosting environments where multiple users share the same server could potentially be affected if one user's compromised account exploits this vulnerability.
• windows / supply-chain:
Get-Process -Name WRSA | Select-Object -ExpandProperty Path• windows / supply-chain:
Get-WinEvent -LogName Application -Filter "EventID=1001 and Source='Webroot'"• windows / supply-chain: Check Autoruns for unusual entries related to WRSA.EXE or Webroot Antivirus. • windows / supply-chain: Use Sysinternals Process Monitor to monitor WRSA.EXE's file system activity.
disclosure
Statut de l'Exploit
EPSS
0.05% (percentile 15%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Webroot Antivirus vers la version 9.0.35.17 ou ultérieure. Si la mise à jour est problématique, envisagez une restauration à une version antérieure stable avant l'apparition de la vulnérabilité, si possible. En attendant la mise à jour, il est recommandé de renforcer les contrôles d'accès aux fichiers sensibles et de surveiller l'activité du processus WRSA.EXE. Il n'existe pas de règles WAF spécifiques connues pour cette vulnérabilité, mais une surveillance accrue des tentatives de suppression de fichiers système est conseillée. Après la mise à jour, vérifiez l'intégrité du système en effectuant une analyse complète avec Webroot Antivirus et en vérifiant que les fichiers critiques sont présents et non corrompus.
Actualice Webroot Antivirus a la última versión disponible. Consulte el sitio web del proveedor para obtener la versión más reciente y las instrucciones de actualización. Esto mitiga la vulnerabilidad de escalada de privilegios.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2023-7241 is a vulnerability in Webroot Antivirus versions 8.0.10–9.0.35.12 that allows malicious software to delete protected files, potentially leading to system compromise.
You are affected if you are running Webroot Antivirus versions 8.0.10 through 9.0.35.12. Check your version and upgrade immediately.
Upgrade to Webroot Antivirus version 9.0.35.17 or later to resolve this vulnerability. Consider temporary permission restrictions if an immediate upgrade is not possible.
Currently, there is no confirmed active exploitation, but the vulnerability's nature suggests a potential for exploitation.
Refer to the official Webroot security advisory for detailed information and updates: [https://www.webroot.com/us/en/resources/alerts/2024/05/23-001.html](https://www.webroot.com/us/en/resources/alerts/2024/05/23-001.html)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.