Webroot Antivirus COM劫持 LPE

攻击者可以利用此漏洞在受感染的系统上获得更高的权限。通过删除关键系统文件或安全配置，攻击者可以完全控制受感染的机器，窃取敏感数据，安装恶意软件，或进行横向移动攻击。由于 Webroot Antivirus 通常用于保护企业网络中的终端设备，因此该漏洞的潜在影响范围可能非常广泛，可能导致整个网络的安全风险增加。此漏洞的利用方式类似于其他权限提升漏洞，攻击者可能需要先获得较低级别的访问权限，然后利用该漏洞提升权限。

Organizations using Webroot Antivirus in environments with sensitive data or critical infrastructure are particularly at risk. Systems with legacy configurations or those that haven't been regularly patched are also more vulnerable. Shared hosting environments where multiple users share the same server could potentially be affected if one user's compromised account exploits this vulnerability.

• windows / supply-chain:

Get-Process -Name WRSA | Select-Object -ExpandProperty Path

• windows / supply-chain:

Get-WinEvent -LogName Application -Filter "EventID=1001 and Source='Webroot'"

• windows / supply-chain: Check Autoruns for unusual entries related to WRSA.EXE or Webroot Antivirus. • windows / supply-chain: Use Sysinternals Process Monitor to monitor WRSA.EXE's file system activity.

1. 2024-05-01Disclosure

   disclosure

1. 已保留2024-01-25
2. 发布日期2024-05-01
3. 修改日期2024-08-02
4. EPSS 更新日期2026-04-02

最有效的缓解措施是立即升级到 Webroot Antivirus 9.0.35.17 或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：首先，限制 WRSA.EXE 进程的权限，使其只能访问必要的文件和目录。其次，实施严格的文件访问控制策略，防止恶意软件删除关键系统文件。第三，定期扫描系统，检测潜在的恶意软件活动。最后，监控 WRSA.EXE 进程的行为，如果发现异常活动，立即进行调查和处理。升级后，请确认 WRSA.EXE 进程的权限已正确配置，并且系统已成功应用了安全更新。