El bug del antivirus Eset es debido a una antigua biblioteca dentro del código fuente
El bug ha sido descubierto por el investigador de seguridad de Google Jason GeffnerGeffner que dice que versiones vulnerables de la ESET Mac antivirus utilizan el analizador POCO XML versión de la biblioteca 1.4.6p1 del 06/03/2013, que a su vez se bifurca desde Expat analizador XML biblioteca de la versión 2.0.1 de 2007-06-05.
Recientemente, los investigadores de seguridad se dieron cuenta de una vulnerabilidad (CVE-2016-0718) en la biblioteca Expat permitía la ejecución de código remoto a través de contenido XML con formato incorrecto.
Un error reside en la verificación de licencia demonio
Uno de los lugares donde ESET Mac antivirus ha interactuadoes con flujos XML en su mecanismo de verificación de la licencia.
De acuerdo con Geffner, cuando el antivirus ESET daemon comprueba si un usuario tiene una licencia válida en el inicio, un atacante escuchar el tráfico local puede recoger la consulta y responder en lugar de los servidores de ESET.
Esto le permite enviar de vuelta a los archivo XML con formato incorrecto que luego ejecutan código malicioso en el Mac del usuario. Este problema se agrava debido a que el demonio de verificación de la licencia se ejecuta como root, es decir, el código de explotación también se ejecutará como root, con todos los privilegios disponibles para el atacante.
Por otra parte, también señala Geffner que parte de la culpa es debido a que su antivirus no verifica el certificado HTTPS del servidor de ESET responsable del proceso de verificación de la licencia. Esto es lo que permite al atacante emitir una respuesta falsa a nombre del servidor en el primer lugar, sin que los antivirus detectan nada malo.
Geffner ha publicado en línea el código de prueba de concepto que explota esta falla. El PoC sólo bloquea el antivirus ESET Mac, pero más complejo es el código de explotación puede ser construido en su estructura.
ESET ha corregido este defecto, rastreado como CVE-2016 a 9892 , con el lanzamiento de ESET Endpoint Antivirus 6.4.168.0. ESET aconseja a actualizar tan pronto como sea posible.
Geffner es el segundo investigador que ha encontrado un fallo grave en los productos antivirus de ESET después de Tavis Ormandy descubrió un problema similar en junio el año 2015.
