CDIC 2023

พบช่องโหว่ ESET Antivirus บน macOS เสี่ยงถูกแฮ็คจากระยะไกล

March 1, 2017 Email Security, ESET, Products, Security, Threats Update, Vulnerability and Risk Management

Jason Geffner และ Jan Bee นักวิจัยด้านความมั่นคงปลอดภัยจาก Google ออกมาเปิดเผยถึงช่องโหว่บนซอฟต์แวร์ Endpoint Antivirus 6 for macOS ของ ESET ซึ่งช่วยให้แฮ็คเกอร์สามารถสั่งรันโค้ดแปลกปลอมบนเครื่องของเหยื่อโดยใช้สิทธิ์ Root จากระยะไกลโดยไม่จำเป็นต้องพิสูจน์ตัวตนได้ แนะให้ผู้ใช้อัปเดตแพทช์ล่าสุดโดยด่วน

Credit: Maxim Maksutov/ShutterStock

ใช้ XML Parser Library ที่มีช่องโหว่

ช่องโหว่ Remote Code Execution (RCE) นี้มีรหัส CVE-2016-9892 ถูกค้นพบเมื่อต้นเดือนพฤศจิกายนที่ผ่านมา โดยมีสาเหตุมาจาก XML Parsing Library ที่ใช้อยู่มีช่องโหว่ กล่าวคือ โปรแกรม Antivirus เวอร์ชันที่มีปัญหานี้ ใช้ POCO XML Parser Library เวอร์ชัน 1.4.6p1 ซึ่งแตกย่อยมาจาก Expat XML Parser Library เวอร์ชัน 2.0.1 ที่เปิดให้ใช้งานเมื่อเดือนมิถุนายน 2007 อย่างไรก็ตาม ก่อนหน้านี้ Expat ถูกค้นพบว่ามีช่องโหว่ CVE-2016-0718 ซึ่งช่วยให้แฮ็คเกอร์สามารถโจมตีแบบ RCE ผ่านทางการส่งข้อมูล XML ที่ผิดปกติ (Malformed XML Content) ได้ ส่งผลให้ POCO Library สืบทอดช่องโหว่นี้มาด้วยเช่นกัน

เกิดความบกพร่องในกระบวนการขณะตรวจสอบ License

จากการตรวจสอบพบว่า ESET Antivirus บน macOS จะรับส่งข้อมูลผ่าน XML ก็ต่อเมื่อทำการยืนยัน License ที่ใช้งานขณะเริ่มรันโปรแกรม เมื่อ ESET Antivirus Daemon ส่งข้อมูลไปยัง ESET Server เพื่อตรวจสอบว่า License ของโปรแกรมที่รันอยู่ถูกต้องหรือไม่ แฮ็คเกอร์สามารถโจมตีแบบ Man-in-the-Middle เพื่อดักจับทราฟฟิกดังกล่าว แล้วทำการส่งไฟล์ XML ที่ผิดปกติตอบกลับไปแทน เมื่อ XML Parser Library ประมวลผล โค้ดแปลกปลอมที่ฝังอยู่ข้างใน XML ก็จะถูกรันทันที ที่แย่คือ Daemon ที่ใช้ตรวจสอบ License ถูกรันด้วยสิทธิ์ Root ส่งผลให้โค้ดแปลกปลอมจากแฮ็คเกอร์ก็จะถูกรันด้วยสิทธิ์ Root สูงสุดเช่นเดียวกัน

ไม่มีการตรวจสอบ HTTPS Certificate

นอกจากนี้ Geffner และ Bee ยังกล่าวโทษ ESET อีกว่า ESET ไม่มีการตรวจสอบ HTTPS Certificate ในกระบวนการตรวจสอบ License ส่งผลให้แฮ็คเกอร์สามารถโจมตีแบบ Man-in-the-Middle เพื่อดักจับข้อมูลแล้วส่งข้อมูลปลอมกลับไปเพื่อรันโค้ดบนเครื่องของเหยื่อได้โดยที่โปรแกรม Antivirus ไม่รู้ตัว

นักวิจัยทั้งสองได้ปล่อยโค้ดสำหรับ PoC ซึ่งแสดงให้ว่าสามารถใช้โปรแกรม Antivirus ของ ESET ในการหยุดระบบของ macOS ได้ ผู้ที่สนใจสามารถดูรายละเอียดเชิงเทคนิคเกี่ยวกับช่องโหว่ได้ที่: http://seclists.org/fulldisclosure/2017/Feb/68

สำหรับผู้ที่ใช้ ESET Endpoint Antivirus for macOS แนะนำให้อัปเดตแพทช์เป็นเวอร์ชัน 6.4.168.0 เพื่ออุดช่องโหว่ดังกล่าว

ที่มา: https://www.bleepingcomputer.com/news/security/google-security-researcher-finds-security-hole-in-esets-mac-antivirus/

Tags


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

รู้จักกับ Jupiter: เทคโนโลยี Data Center Networks ของ Google สำหรับเชื่อมต่อ Server หลายหมื่นเครื่องด้วยประสิทธิภาพสูง

สำหรับเหล่า Network Engineer การติดตามสถาปัตยกรรมเครือข่ายใหม่ๆ ถือเป็นหนึ่งในเนื้อหาที่สร้างความรู้และความบันเทิงได้ไม่น้อย และในบทความนี้เราก็จะพาทุกท่านไปรู้จักกับ Jupiter ซึ่งเป็นเทคโนโลยี Data Center Networking ของ Google ที่อยู่เบื้องหลังของบริการ Google Search, YouTube, Gmail, และ Google Cloud Platform อย่าง AI/ML, Compute Engine, BigQuery Analytics, Spanner Database และอื่นๆ กันครับ

Google เปิดตัว TPU v5p และ AI Hypercomputer สถาปัตยกรรมใหม่สำหรับ Supercomputer แห่งอนาคต

สัปดาห์ที่ผ่านมา Google ได้ออกมาประกาศเปิดตัวถึง 2 สิ่งใหม่สำหรับการประมวลผล AI ได้แก่ Google Cloud TPU v5p ระบบ AI Accelerator รุ่นใหม่ล่าสุดที่มีความเร็ว, การเพิ่มขยาย และความยืดหยุ่นสูงสุดเท่าที่เคยมีมา และ AI Hypercomputer สถาปัตยกรรม Supercomputer ใหม่บน Google Cloud สำหรับรองรับงาน AI โดยเฉพาะ

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand