Thư viện XML lỗi thời được bao gồm trong bản cập nhật gần đây cho ESET Endpoint Antivirus 6 Theo các nhà nghiên cứu của Google. Những kẻ tấn công sử dụng cuộc tấn công nhắm mục tiêu man-in-the-middle có thể chặn việc truyền dữ liệu thông tin xác thực cấp phép, cho phép một máy giả mạo làm máy chủ cấp phép để chuyển dữ liệu không có thật.
Trong trường hợp này, một chứng chỉ HTTPS giả mạo có thể được gửi đi, cho phép kẻ tấn công kiểm soát kết nối. Một lần truyền tiếp theo có thể chứa một gói XML được chế tạo độc hại, cho phép thực thi mã cấp gốc.
“Khi ESET Endpoint Antivirus cố gắng kích hoạt giấy phép của nó, esets_daemon sẽ gửi yêu cầu đến https://edf.eset.com/edf”, Jason Geffner và Jan Bee của Nhóm bảo mật của Google báo cáo. “Dịch vụ esets_daemon không xác thực chứng chỉ của máy chủ web, vì vậy người trung gian có thể chặn yêu cầu và phản hồi bằng chứng chỉ HTTPS tự ký. Dịch vụ esets_daemon phân tích phản hồi dưới dạng tài liệu XML, do đó cho phép kẻ tấn công để cung cấp nội dung không đúng định dạng. “
Lỗ hổng đã được Google phát hiện và báo cáo cho ESET vào đầu tháng 11 năm 2016. Một bản vá để khắc phục sự cố đã được cung cấp cho các nhà nghiên cứu vào đầu tháng 2 với bản phát hành vào ngày 21 tháng 2.
Cuộc tấn công không cần thiết phải phù hợp với một máy cụ thể, giống như các gói phần mềm độc hại khác của Mac yêu cầu. Tất cả những gì nó yêu cầu là nhận thức được rằng mục tiêu đang chạy công cụ ESET và phương tiện để sử dụng cuộc tấn công “kẻ ở giữa”, chẳng hạn như điểm phát sóng wi-fi công cộng.
ESET đã phát hành một bản vá cho vấn đề này vào ngày 21 tháng 2, trước khi công khai lỗ hổng. Người dùng nên đảm bảo rằng phiên bản ESET Endpoint Antivirus 6.4.168.0 đã được cài đặt, và không phải bất kỳ phiên bản nào trước đó.
Nguồn: appleinsider
