Уязвимость в антивирусе ESET позволяет выполнить на Mac код с привилегиями ядра

Исследователи команды безопасности Google Джейсон Геффнер (Jason Geffner) и Жан Би (Jan Bee) обнаружили уязвимость в антивирусном продукте ESET Endpoint Antivirus 6 (CVE-2016-9892), позволяющую удаленно выполнить код на Mac с привилегиями ядра. Осуществить атаку очень просто – достаточно лишь перехватить подключение продукта к серверам ESET и проэксплуатировать уязвимость в библиотеке XML.

«Уязвимые версии ESET Endpoint Antivirus 6 статически связаны с устаревшей библиотекой синтаксического анализа XML и не проводят надлежащим образом аутентификацию сервера, тем самым позволяя удаленному неавторизованному атакующему выполнить код с привилегиями ядра», - сообщили исследователи. ;

По словам экспертов, esets_daemon использует устаревшую версию библиотеки POCO XML, в которой присутствует уязвимость переполнения буфера (CVE-2016-0718). Помимо прочего, библиотека запрашивает лицензию по адресу https://edf.eset. com/edf:. Злоумышленник может осуществить атаку «человек посередине» и отправить в качестве ответа данные для эксплуатации CVE-2016-0718 с последующим выполнением кода с привилегиями ядра.

Демон не проверяет сертификат сервера ESET, что дает возможность атакующему выдать себя за сервер ESET и предоставить клиенту самоподписанный SSL-сертификат. Осуществив MITM-атаку, злоумышленник может отправить на Mac вредоносный контент, взломать уязвимую библиотеку, а затем выполнить код. Уязвимость исправлена в версии 6.4.168.0.