[CA6333] Kwetsbaarheid in ESET producten voor MacOS die remote uitvoering en privilege escalatie mogelijk maken opgelost.

Samenvatting

ESET Klanten advies 2017-0003
14 februari 2017
Ernst: Kritiek

ESET is op de hoogte gesteld van potentiele kwetsbaarheden in de consumenten en zakelijke variant van onze producten voor MacOS.

Na grondig onderzoek hebben we de oorzaak van het probleem gevonden en nieuwe productversies uitgebracht voor onze gebruikers om deze te downloaden en installeren.

Customer Advisory

Details

De volgende problemen zijn gemeld aan ESET, deze zijn geanalyseerd en opgelost:

  • Door het gebruiken van een verouderde versie van een XML Parsing library in ESET producten voor MacOS, is het mogelijk voor een aanvaller een special gemaakt XML bestand te gebruiken. Zodra het in de ESET daemon geladen wordt, zijn kwaadbedoelende codes met root privileges uit te voeren.
    ESET heeft dit opgelost door een verbeterde versie van deze library te gebruiken.
  • Producten voor MacOS maken gebruik van een script wat gelokaliseerd is in: /tmp/esets_setup.sh en een configuratie laad van /tmp. Als een gebruiker zonder special rechten deze bestanden van tevoren zou aanmaken, zou een installatie die gestart word door een gebruiker met speciale rechten deze bestanden kunnen laden en uitvoeren. ESET heeft dit problem opgelost door niet langer een script bestand hierbij te gebruiken, maar een data bestand met installatie instellingen die door de ESET Daemon gelezen word tijdens de installatie.
  • ESET producten voor macOS verifieerde geen SSL certificaten tijdens de communicatie met ESET servers. Hierdoor zou een aanvaller een man-in-the-middle aanval kunnen doen en de data vervalsen die het ESET product ontvangt. ESET heeft dit probleem opgelost  door SSL verificatie te implementeren tijdens het communiceren met de ESET servers.
  • Zelfs met proxy instellingen uitgeschakeld tijdens de installatie van ESET producten op macOS, bleef de eset_proxy daemon luisteren naar 0.0.0.0:57856, hierdoor werd het blootgesteld naar niet de lokale verbindingen. ESET heeft dit opgelost door de daemon alleen nog maar te laten luisteren naar 127.0.0.1 in plaats van 0.0.0.0 en alle poorten te sluiten als proxy opties uitgeschakeld staan.

Voor zover wij hebben ondervonden, zijn er geen bestaande exploits die hiervan gebruik kunnen maken.

Oplossing

ESET Heeft builds voorbereid voor haar consumenten en zakelijke producten voor MAcOS en raad haar gebruikers aan om deze te downloaden vanaf onze downloadpagina op www.eset.com en deze zo snel mogelijk te installeren.

De volgende versies bevatten de oplossing:

  • ESET Cyber Security en ESET Cyber Security Pro 6.4.128.0 en hoger (uitgebracht op 13 februari 2017)
  • ESET Endpoint Antivirus voor macOS en ESET Endpoint Security voor macOS 6.4.168.0 en hoger (uitgebracht op 14 februari 2017)

Aangetaste programma’s en versies

  • XML parsing en SSL verificatie probleem
    • ESET Cyber Security en ESET Cyber Security Pro 6.1.x-6.3.70.1
    • ESET Endpoint Antivirus voor macOS en ESET Endpoint Security voor macOS 6.0.x-6.3.85.1

 

  • Installatie script probleem
    • ESET Cyber Security en ESET Cyber Security Pro 6.0.x-6.3.70.1
    • ESET Endpoint Antivirus voor macOS en ESET Endpoint Security voor macOS 6.0.x-6.3.85.1
    • ESET NOD32 Antivirus Business Edition for macOS 4.x

 

  • Proxy listening probleem
    • ESET Cyber Security en ESET Cyber Security Pro 6.0.x-6.3.70.1
    • ESET Endpoint Antivirus voor macOS en ESET Endpoint Security voor macOS 6.0.x-6.3.85.1

Feedback & Support

Indien u feedback of vragen heeft, omtrent deze kwestie, kunt u contact opnemen met ons via het ESET Security Forum, of via uw lokale ESET Klantenservice.

Erkenning

ESET hecht veel waarde aan de verantwoordelijkheid binnen de veiligheidsindrustrie en wilt hierbij graag zijn dankbaarheid tone naan Jan Bee en Jason Geffner van het Google Security Team die de problemen gemeld hebben.

Versie log

Versie 1.0 (14 februari 2017): Eerste versie van dit document