Lỗ hổng nghiêm trọng trong ESET Antivirus ảnh hưởng tới người dùng Mac

Một lỗ hổng nghiêm trọng nhưng rất dễ khai thác đã được tìm thấy trong phần mệt diệt virus ESET. Lỗ hổng cho phép tin tặc thực hiện mã tùy ý từ xa với quyền root trên hệ thống Mac.

Lỗ hổng định danh CVE-2016-9892 trong phần mềm ESET Endpoint Antivirus 6 trên macOS đã được thành viên nhóm nghiên cứu Google Security Team phát hiện vào tháng 11 năm 2016.

Chi tiết về lỗ hổng đã được công bố, tất cả những gì tin tặc cần là chiếm được quyền thực thi mã từ xa trên máy tính Mac nhằm can thiệp kết nối HTTPS của phần mềm ESET Antivirus. Tin tặc sẽ thực hiện tấn công man-in-the-middle (MITM) và khai thác một thư viện XML.

Lỗ hổng nằm trong một service có tên esets_daemon thực thi dưới quyền root. Service này được liên kết tính với một thư viện PÔC XML 1.4.6p1 phát hành từ tháng 3 năm 2013. Phiên bản này được xây dựng dựa trên thư viện Expat XML  2.0.1 từ năm 2007 vốn tồn tại lỗ hổng CVE-2016-0718 giúp tin tặc thực thi mã độc hại thông qua nội dung XML.

Khi esets_daemon gửi một request tới https://edf.eset.com/edf trong quá trình kích hoạt sản phẩm ESET Endpoint Antivirus, một tin tặc MiTM sẽ can thiệp nhằm phát tán tài liệu XML độc hại thông qua một chứng chỉ HTTPS tự kí. Tấn công có thể được thực hiện do ESET không thực hiện kiểm tra chứng chỉ từ máy chủ web.

Bản cập nhật đã được phát hành cho ESET Endpoint Antivirus trên MacOS. Người dùng được khuyến cáo  cập nhật càng sớm càng tốt