Salah satu kerentanan easy-to-exploit kali ini ditemukan dalam software antivirus ESET. Kerentanan kritisis antivirus ESET ini memungkinkan penyerang untuk remotely execute arbitrary code dengan hak akses root pada sistem Mac.
Kerentanan kritis ESET Endpoint Antivirus 6 untuk macOS ini ditrack sebagai CVE-2016-9892. Kerentanan ini ditemukan oleh para peneliti dari tim keamanan Google, yaitu Jason Geffner dan Jan Bee pada awal November 2016.
Sebagaimana yang tercantum dalamfull disclosure nya, penyerang perlu root-level remote code execution pada perangkat Mac. Yang mana bertujuan memotong koneksi paket antivirus ESET untuk server back-end yang menggunakan sertifikat self-signed HTTPS. Lalu penyerang akan meluncurkan serangan man-in-the-middle (MITM). Dan juga mengeksploitasi kerentanan XML library.
Isu aktual ini terkait dengan layanan bernama esets_daemon yang berjalan sebagai root. Layanan statis ini terkait dengan versi lama dari POCO XML parser library versi 1.4.6p1 yang dirilis pada bulan Maret 2013.
Versi POCO ini didasarkan pada Expat XML parser library versi 2.0.1 yang ada dari tahun 2007. Yang mana terkena dampak dari kerentanan XML parsing (CVE-2016-0718). Kerentanan tersebut memungkinkan penyerang untuk mengeksekusi kode arbitrary melalui konten XML berbahaya.
Sekarang, ketika esets_daemon mengirim request ke https://edf.eset.com/edf selama aktivasi produk ESET Endpoint Antivirus, penyerang MITM dapat memotong request untuk mengirim dokumen XML malformed. Yang mana pengiriman tersebut menggunakan sertifikat self-signed HTTPS.
Kejadian ini memicu kerentanan CVE-2016-0718
Kejadian ini memicu kerentanan CVE-2016-0718 yang mengeksekusi kode berbahaya dengan hak akses root ketika esets_daemon diurai oleh konten XML. Serangan ini sangat mungkin dilakukan karena antivirus ESET tidak memvalidasi sertifikat web server.
Jika penyerang dapat mengendalikan sambungan, disini mereka dapat mengirim konten berbahaya ke komputer Mac untuk membajak parser XML dan mengeksekusi kode sebagai root.
Para peneliti Google juga telah merilis proof-of-concept (PoC) yang memanfaatkan kode. Mereka menunjukkan bagaimana aplikasi antivirus ESET dapat digunakan untuk menyebabkan crash.
ESET mengatasi kerentanan ini pada 21 Februari kemarin dengan mengupgrade POCO parsing library dan dengan mengkonfigurasi produk untuk memverifikasi sertifikat SSL.
Patch untuk kerentanan tersedia dalam rilisan versi 6.4.168.0 dari ESET Endpoint Antivirus untuk MacOS.
