Breaking News

พบช่องโหว่ ESET Antivirus บน macOS เสี่ยงถูกแฮ็คจากระยะไกล

Jason Geffner และ Jan Bee นักวิจัยด้านความมั่นคงปลอดภัยจาก Google ออกมาเปิดเผยถึงช่องโหว่บนซอฟต์แวร์ Endpoint Antivirus 6 for macOS ของ ESET ซึ่งช่วยให้แฮ็คเกอร์สามารถสั่งรันโค้ดแปลกปลอมบนเครื่องของเหยื่อโดยใช้สิทธิ์ Root จากระยะไกลโดยไม่จำเป็นต้องพิสูจน์ตัวตนได้ แนะให้ผู้ใช้อัปเดตแพทช์ล่าสุดโดยด่วน

Credit: Maxim Maksutov/ShutterStock

ใช้ XML Parser Library ที่มีช่องโหว่

ช่องโหว่ Remote Code Execution (RCE) นี้มีรหัส CVE-2016-9892 ถูกค้นพบเมื่อต้นเดือนพฤศจิกายนที่ผ่านมา โดยมีสาเหตุมาจาก XML Parsing Library ที่ใช้อยู่มีช่องโหว่ กล่าวคือ โปรแกรม Antivirus เวอร์ชันที่มีปัญหานี้ ใช้ POCO XML Parser Library เวอร์ชัน 1.4.6p1 ซึ่งแตกย่อยมาจาก Expat XML Parser Library เวอร์ชัน 2.0.1 ที่เปิดให้ใช้งานเมื่อเดือนมิถุนายน 2007 อย่างไรก็ตาม ก่อนหน้านี้ Expat ถูกค้นพบว่ามีช่องโหว่ CVE-2016-0718 ซึ่งช่วยให้แฮ็คเกอร์สามารถโจมตีแบบ RCE ผ่านทางการส่งข้อมูล XML ที่ผิดปกติ (Malformed XML Content) ได้ ส่งผลให้ POCO Library สืบทอดช่องโหว่นี้มาด้วยเช่นกัน

เกิดความบกพร่องในกระบวนการขณะตรวจสอบ License

จากการตรวจสอบพบว่า ESET Antivirus บน macOS จะรับส่งข้อมูลผ่าน XML ก็ต่อเมื่อทำการยืนยัน License ที่ใช้งานขณะเริ่มรันโปรแกรม เมื่อ ESET Antivirus Daemon ส่งข้อมูลไปยัง ESET Server เพื่อตรวจสอบว่า License ของโปรแกรมที่รันอยู่ถูกต้องหรือไม่ แฮ็คเกอร์สามารถโจมตีแบบ Man-in-the-Middle เพื่อดักจับทราฟฟิกดังกล่าว แล้วทำการส่งไฟล์ XML ที่ผิดปกติตอบกลับไปแทน เมื่อ XML Parser Library ประมวลผล โค้ดแปลกปลอมที่ฝังอยู่ข้างใน XML ก็จะถูกรันทันที ที่แย่คือ Daemon ที่ใช้ตรวจสอบ License ถูกรันด้วยสิทธิ์ Root ส่งผลให้โค้ดแปลกปลอมจากแฮ็คเกอร์ก็จะถูกรันด้วยสิทธิ์ Root สูงสุดเช่นเดียวกัน

ไม่มีการตรวจสอบ HTTPS Certificate

นอกจากนี้ Geffner และ Bee ยังกล่าวโทษ ESET อีกว่า ESET ไม่มีการตรวจสอบ HTTPS Certificate ในกระบวนการตรวจสอบ License ส่งผลให้แฮ็คเกอร์สามารถโจมตีแบบ Man-in-the-Middle เพื่อดักจับข้อมูลแล้วส่งข้อมูลปลอมกลับไปเพื่อรันโค้ดบนเครื่องของเหยื่อได้โดยที่โปรแกรม Antivirus ไม่รู้ตัว

นักวิจัยทั้งสองได้ปล่อยโค้ดสำหรับ PoC ซึ่งแสดงให้ว่าสามารถใช้โปรแกรม Antivirus ของ ESET ในการหยุดระบบของ macOS ได้ ผู้ที่สนใจสามารถดูรายละเอียดเชิงเทคนิคเกี่ยวกับช่องโหว่ได้ที่: http://seclists.org/fulldisclosure/2017/Feb/68

สำหรับผู้ที่ใช้ ESET Endpoint Antivirus for macOS แนะนำให้อัปเดตแพทช์เป็นเวอร์ชัน 6.4.168.0 เพื่ออุดช่องโหว่ดังกล่าว

ที่มา: https://www.bleepingcomputer.com/news/security/google-security-researcher-finds-security-hole-in-esets-mac-antivirus/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ขอเชิญร่วมงานสัมมนาออนไลน์ฟรี VMware EVOLVE Online 2020 ลุ้นรับฟรี iPad Pro และ Apple Watch

ขอเชิญทุกท่านในวงการ IT เข้าร่วมงานสัมมนาออนไลน์ฟรี VMware EVOLVE Online 2020 งานสัมมนาออนไลน์ใหญ่จาก VMware ที่อัปเดตเทคโนโลยีล่าสุดพร้อมกันทั่วโลก พร้อมทำ Online Hands-on Lab เพื่อทำความรู้จักกับ VMware vSphere 7, VMware Tanzu Mission Control, Container, Software-Defined Networking, Hybrid Cloud และ VMware Cloud on AWS ซึ่งสามารถเข้าร่วมในเวลาใดก็ได้จนถึงวันที่ 30 มิถุนายน 2020 พร้อมลุ้นรับรางวัลสุดพิเศษ Apple iPad Pro, Apple Watch, Apple AirPods Pro และ Bang & Olufsen BeoPlay E8 2.0 โดยมีรายละเอียดของกิจกรรมต่างๆ ภายในงาน และวิธีการลงทะเบียนเข้าร่วมงานฟรีดังนี้

[Video Webinar] แนะนำ 6 เทคโนโลยีการปกป้องข้อมูลให้สอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

สำหรับผู้ที่ไม่ได้เข้าชมการบรรยาย TechTalk Webinar เรื่อง “แนะนำ 6 เทคโนโลยีการปกป้องข้อมูลให้สอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล” พร้อมเจาะลึกความต้องการของ พ.ร.บ.ฯ ฉบับดังกล่าว และทำความรู้จักเทคโนโลยีแต่ละประเภทที่องค์กรสามารถนำไปประยุกต์ใช้เพื่อให้ตอบโจทย์ความต้องการเหล่านั้น ที่เพิ่งจัดไปเมื่อเดือนมีนาคมที่ผ่านมา หรือต้องการรับชมการบรรยายซ้ำอีกครั้ง …