[CA6333] Vulnerabilidades solucionadas en ejecución remota y privilegios de escalamiento en productos ESET para macOS

Resumen

ESET fue puesto al tanto de vulnerabilidades potenciales en sus productos para hogar y empresas en plataforma macOS. Luego de una detallada inspección, ESET identificó las causas e inconvenientes y lanzó productos mejorados disponibles para su descarga e instalación.

Asesor de Clientes

Programas y versiones afectadas

  • Inconvenientes de parsing XML y verificación SSL
    • ESET Cyber Security y ESET Cyber Security Pro 6.1.x – 6.3.70.1
    • ESET Endpoint Antivirus para macOS y ESET Endpoint Security para macOS 6.0.x – 6.3.85.1
       
  • Inconveniente de script de instalación
    • ESET Cyber Security y ESET Cyber Security Pro 6.0.x – 6.3.70.1
    • ESET Endpoint Antivirus para macOS y ESET Endpoint Security para macOS 6.0.x – 6.3.85.1
    • ESET NOD32 Antivirus Business Edition para macOS 4.x
       
  • Inconveniente en la escucha de proxy
    • ESET Cyber Security y ESET Cyber Security Pro 6.0.x – 6.3.70.1
    • ESET Endpoint Antivirus para macOS y ESET Endpoint Security para macOS 6.0.x – 6.3.85.1

Solución

ESET creó versiones mejoradas de sus productos para hogares y empresas para macOS y recomienda a sus usuarios descargarlos desde la sección Descargas de www.eset.com e instalarlos cuanto antes

Las siguientes versiones contienen las mejoras:

Detalles

Los siguientes inconvenientes fueron reportados a ESET, analizados y reparados:

  • Al utilizar una versión desactualizada de una librería de parsing XML de terceros en productos ESET para macOS, es posible para un atacante crear un archivo XML diseñado específicamente, el cual, cuando se carga el demonio de ESET, podría ejecutar su código malicioso con privilegios de root. ESET solucionó este inconveniente utilizando una versión emparchada de la librería de parsing XML.
     
  • El asistente de instalación de los productos ESET para macOS ejecuta un sript localizado en /tmp/esets_setup.sh y carga su configuración desde /tmp. Si un usuario sin privilegios creó tales archivos de antemano, una instalación posterior ejecutada por un usuario con privilegios puede cargar y ejecutar los archivos. ESET resolvió este inconveniente dejando de utilizar un archivo script, creando en su lugar un archivo de datos con los ajustes de instalación que son leídos e interpretados por esets_daemon durante la primera carga.
     
  • Los productos ESET para macOS no verifican los certificados SSL cuando se comunican con los servidores de ESET. De esta manera, un atacante puede efectuar un ataque del tipo "man-in-the-middle" y falsear información recibida por el producto. ESET solucionó este problema implementando la verificación del certificado SSL durante la comunicación con los servidores de ESET.
     
  • Aún con las funcionalidades de proxy deshabilitadas en los ajustes de los productos ESET para macOS, esets_proxy daemon continúa escuchando en 0.0.0.0:57856, exponiéndose a intentos de conexión no locales. ESET reparó esta falla colocando la escucha del demonio en 127.0.0.1 en lugar de 0.0.0.0 y cerrando todos los puertos cuando las funcionalidades de proxy han sido deshabilitadas.

Para un conocimiento más profundo, no existen exploits que tomen ventaja de estas vulnerabilidades en condiciones corrientes.

Soporte y consultas

Si persiste alguna consulta acerca de este suceso, por favor contáctenos a través de nuestro formulario de soporte.

Reconocimiento

ESET aprecia los principios de divulgación responsable dentro de la industria de la seguridad informática y desea expresar por este medio a Jan Bee y Jason Geffner del Google Security Team, quienes reportaron estos sucesos.

Registro de versión

Versión 1.0 (14 de febrero de 2017): versión inicial de este documento