Plataforma
windows
Componente
webroot-antivirus
Corrigido em
9.0.35.17
A vulnerabilidade CVE-2023-7241 é uma falha de elevação de privilégios no executável WRSA.EXE do Webroot Antivirus. Esta falha permite que softwares maliciosos abusem do WRSA.EXE para deletar arquivos arbitrários e protegidos, comprometendo a integridade do sistema. As versões afetadas são 8.0.1X até 9.0.35.12 do Webroot Antivirus, executado em sistemas Windows de 32 e 64 bits. A correção foi lançada na versão 9.0.35.17.
Um atacante pode explorar esta vulnerabilidade para obter acesso não autorizado e deletar arquivos críticos do sistema, incluindo arquivos de sistema operacional, dados de usuários e outros arquivos protegidos. A deleção desses arquivos pode levar à instabilidade do sistema, perda de dados e até mesmo à impossibilidade de inicialização do sistema operacional. A exploração bem-sucedida pode permitir que um atacante assuma o controle total do sistema afetado, realizando ações com os privilégios do usuário sob o qual o WRSA.EXE está em execução. Embora não haja relatos públicos de exploração ativa, a facilidade de exploração e o potencial de impacto significativo tornam esta vulnerabilidade uma preocupação séria.
A vulnerabilidade foi publicada em 01 de maio de 2024. Não está listada no KEV (CISA Known Exploited Vulnerabilities) no momento da escrita. A pontuação EPSS (Exploit Prediction Scoring System) provavelmente será classificada como média devido à disponibilidade de informações técnicas sobre a vulnerabilidade e seu potencial de impacto. Não há public proof-of-concept (PoC) amplamente divulgado, mas a descrição da vulnerabilidade sugere que a exploração é relativamente simples.
Organizations using Webroot Antivirus in environments with sensitive data or critical infrastructure are particularly at risk. Systems with legacy configurations or those that haven't been regularly patched are also more vulnerable. Shared hosting environments where multiple users share the same server could potentially be affected if one user's compromised account exploits this vulnerability.
• windows / supply-chain:
Get-Process -Name WRSA | Select-Object -ExpandProperty Path• windows / supply-chain:
Get-WinEvent -LogName Application -Filter "EventID=1001 and Source='Webroot'"• windows / supply-chain: Check Autoruns for unusual entries related to WRSA.EXE or Webroot Antivirus. • windows / supply-chain: Use Sysinternals Process Monitor to monitor WRSA.EXE's file system activity.
disclosure
Status do Exploit
EPSS
0.05% (percentil 15%)
CISA SSVC
Vetor CVSS
A mitigação primária é a atualização para a versão 9.0.35.17 ou superior do Webroot Antivirus. Se a atualização imediata não for possível, considere um rollback para uma versão anterior conhecida por ser segura. Como medida temporária, implemente regras de firewall ou proxy para restringir o acesso ao WRSA.EXE e monitorar sua atividade. Implemente monitoramento de integridade de arquivos (FIM) para detectar alterações não autorizadas nos arquivos do Webroot Antivirus. Após a atualização, confirme a correção verificando a versão instalada do Webroot Antivirus e realizando uma varredura completa do sistema em busca de arquivos suspeitos.
Actualice Webroot Antivirus a la última versión disponible. Consulte el sitio web del proveedor para obtener la versión más reciente y las instrucciones de actualización. Esto mitiga la vulnerabilidad de escalada de privilegios.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2023-7241 is a vulnerability in Webroot Antivirus versions 8.0.10–9.0.35.12 that allows malicious software to delete protected files, potentially leading to system compromise.
You are affected if you are running Webroot Antivirus versions 8.0.10 through 9.0.35.12. Check your version and upgrade immediately.
Upgrade to Webroot Antivirus version 9.0.35.17 or later to resolve this vulnerability. Consider temporary permission restrictions if an immediate upgrade is not possible.
Currently, there is no confirmed active exploitation, but the vulnerability's nature suggests a potential for exploitation.
Refer to the official Webroot security advisory for detailed information and updates: [https://www.webroot.com/us/en/resources/alerts/2024/05/23-001.html](https://www.webroot.com/us/en/resources/alerts/2024/05/23-001.html)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.