Bilgisayar korsanları için çok fazla mücadele etmek zorunda kalmadan, yaygın olarak kullanılan bir yazılımdaki bir güvenlik açığından yararlanmaktan daha heyecanlı ne olabilir?
Böyle bir kullanımı kolay, ancak kritik güvenlik açığı ESET’in antivirüs yazılımında, kimliği doğrulanmamış herhangi bir saldırganın Mac sistemindeki kök ayrıcalıklarıyla uzaktan kod çalıştırmalarına olanak verebilecek şekilde keşfedilmiştir. MacOS için ESET Endpoint Antivirus 6’da CVE-2016-9892 olarak izlenen kritik güvenlik açığı, Kasım 2016’nın başında Google Güvenlik Ekibi araştırmacıları Jason Geffner ve Jan Bee tarafından keşfedildi.
Detaylandırıldığı gibi tam açıklama Mac bilgisayar otomatik olarak imzalanan HTTPS sertifika kullanarak kendi arka uç sunucularına ESET antivirüs paketin bağlantısını kesmek için olduğu üzerinde, bütün bir korsan kök düzeyinde uzaktan kod yürütülmesine almak gerekiyor, bir insan yapımı olarak kendini koymak ortadaki (MITM) saldırganı ve bir XML kütüphanesi kusurundan yararlanın.
Asıl konu, kök olarak çalışan esets_daemon adlı bir hizmetle ilgilidir. Hizmet, POCO XML ayrıştırıcı kitaplığı, Mart 2013’te yayımlanan sürüm 1.4.6p1’in güncel olmayan bir sürümü ile statik olarak bağlantılıdır. Bu POCO sürümü, 2007’den itibaren etkilenen Expat XML ayrıştırıcı kitaplığı sürüm 2.0.1’in bir sürümüne dayanır. herkese açık XML ayrıştırma açığı ( CVE-2016-0718)) bir saldırganın zararlı XML içeriği ile keyfi kod yürütmesine izin verebilir. Şimdi, ESET Endpoint Antivirus ürününün etkinleştirilmesi sırasında esets_daemon https://edf.eset.com/edf adresine bir istek gönderdiğinde, bir MITM saldırganı kendinden imzalı bir HTTPS sertifikası kullanarak hatalı biçimlendirilmiş bir XML belgesi sunma talebini engelleyebilir.
Bu olay, esets_daemon XML içeriğini ayrıştırdığında, kötücül kötücül zararlı kodları yürüten CVE-2016-0718 hatasını tetikler. Bu saldırı mümkün oldu, çünkü ESET antivirüs web sunucusunun sertifikasını doğrulamadı.
İkili, şu açıklamayı yapmaktadır:
“ESET Endpoint Antivirus 6’nın hassas sürümleri, güncelliğini yitirmiş bir XML ayrıştırma kitaplığı ile statik olarak bağlantılıdır ve uygun sunucu kimlik doğrulaması yapmaz; uzaktan kimliği doğrulanmamış saldırganların, savunmasız istemcilerde kök olarak rasgele kod yürütme gerçekleştirmesine izin verir.” Artık korsan, bağlantıyı kontrol ettiğinden, XML ayrıştırıcısını ele geçirmek ve kodu root olarak çalıştırmak için Mac bilgisayarına kötü amaçlı içerik gönderebilir. Google araştırmacıları, yalnızca ESET antivirüs uygulamasının bir çökmeye neden olmak için nasıl kullanılabileceğini gösteren konsept kanıtı (PoC) istismar kodunu da yayınladı.
ESET, bu açığı 21 Şubat’ta POCO ayrıştırma kütüphanesini yükselterek ve SSL sertifikalarını doğrulamak için ürününü yapılandırarak ele almıştır.