info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

وای به روزی که بگندد نمک!! آسیب‌پذیری بحرانی آنتی‌ویروس ESET در سیستم‌عامل مک

خلاصه: آسیب‌پذیری خطرناکی که در آنتی‌ویروس شرکت ESET در سیستم‌عامل مک وجود دارد به هکر‌ها اجازه می‌دهد دسترسی روت به سیستم پیدا کرده و به صورت خودسرانه کد اجرا کنند. امکان اجرای کد با دسترسی روت خطر زیادی را متوجه کاربرانی که از این آنتی‌ویروس روی سیستم‌عامل مک خود استفاده می‌کنند می‌کند.

چه چیزی به اندازه یک آسیب‌پذیری خطرناک در نرم‌افزاری که کاربران زیادی از آن استفاده می‌کنند برای یک هکر جذابیت دارد؟!  یکی از این آسیب‌پذیری‌‌های قابل دسترس و در عین حال بسیار خطرناک روی آنتی‌ویروس شرکت ESET برای سیستم‌عامل مک وجود دارد.  این آسیب‌پذیری به مهاجمان اجازه می‌دهد بدون احراز هویت کد‌های خودسرانه با دسترسی روت روی سیستم مک قربانی اجرا کنند.

این آسیب‌پذیری بحرانی که با شناسه جهانی CVE-2016-9892 ثبت شده است روی آنتی‌ویروس نسخه ۶ شرکت ESET برای سیستم‌عامل مک وجود دارد. این آسیب‌پذیری توسط تیم تحقیقاتی گوگل در ابتدای نوامبر ۲۰۱۶ کشف شد.

آنگونه که در فاش‌سازی این آسیب‌پذیری بیان شده است، تنها کاری که یک هکر باید انجام دهد تا بتواند کد‌های خودسرانه با دسترسی روت اجرا کند این است که به صورت حمله مردی در میان (MITM) در بین محل تقاطع ارتباط آنتی‌ویروس با سرور‌های پشتیبان خود با استفاده از یک گواهینامه‌ای که توسط خودش امضا شده قرار بگیرد و از آسیب‌پذیری کتابخانه XML استفاده کند.

این آسیب‌پذیری مربوط به سرویسی به نام esets_daemon است که  با دسترسی روت اجرا می‌شود. این سرویس با نسخه قدیمی از POCO XML در ارتباط است که نسخه ۱.۴.۶p1 آن در مارس ۲۰۱۳ عرضه شده است. از طرفی POCO بر اساس نسخه ۲.۰.۱ Expaxt XML Parser است که در سال ۲۰۰۷ ارایه شده و دارای آسیب‌پذیری است که به مهاجم اجازه می‌دهد که کد‌هایی را به صورت خودسرانه تحت محتوای xml اجرا کند.

زمانی که آنتی‌ویروس ESET با سرور خود ارتباط برقرار می‌کند مهاجم می‌تواند با یک گواهینامه که توسط خودش امضا شده  می‌تواند درخواست ارتباط را فریب دهد. زمانی که هکر ارتباط را به دست گرفت می‌تواند هر محتوای آلوده‌ای را به سیستم قربانی منتقل کرده یا کد‌های مخرب خود را با بالاترین سطح دسترسی روی آن اجرا کند. این حمله به این دلیل امکان‌پذیر است که ESET گواهی سروری که با آن ارتباط برقرار می‌کند را بررسی نمی‌کند.

البته شرکت ESET در ۲۱ فوریه با ارتقای نسخه POCO در نسخه ۶.۴.۱۶۸.۰ آنتی‌ویروس خود این آسیب را برطرف کرد و ارتباطات با سرور را تحت ارتباط امن SSL انجام می‌دهد. بنابراین لازم است آنتی‌ویروس‌های قبل از این نسخه هرچه سریع‌تر به‌روز‌رسانی شوند.