マイク・ワーテル
· 1分で読めます
2016 年 10 月に ESET のウイルス対策パッケージに行われたアップデートで新たに発見されたエクスプロイトには、攻撃に対して脆弱な 2007 年製の古い XML パーサーが含まれており、ルート レベルのコード実行が可能になり、最終的にはマシンが侵害される可能性があります。
Googleの研究者によると、ESET Endpoint Antivirus 6の最近のアップデートに含まれる古いXMLライブラリには、バッファオーバーフローのバグが存在するとのことです。中間者攻撃を仕掛ける攻撃者は、ライセンス認証情報の転送を傍受し、ライセンスサーバーを装ったマシンから偽のデータを流用することが可能です。
この場合、偽造されたHTTPS証明書が送信され、攻撃者が接続を制御できるようになる可能性があります。さらに、悪意のあるXMLパッケージが送信され、ルートレベルのコード実行が可能になる可能性があります。
「ESET Endpoint Antivirusがライセンスをアクティベートしようとすると、esets_daemonはhttps://edf.eset.com/edfにリクエストを送信します」と、GoogleセキュリティチームのJason Geffner氏とJan Bee氏は報告しています。「esets_daemonサービスはWebサーバーの証明書を検証しないため、中間者攻撃者がリクエストを傍受し、自己署名HTTPS証明書を使用して応答することができます。esets_daemonサービスはレスポンスをXMLドキュメントとして解析するため、攻撃者は不正なコンテンツを送信することができます。」
この欠陥はGoogleによって発見され、2016年11月初旬にESETに報告された。問題を修正するパッチは2月初旬に研究者に提供され、2月21日にリリースされた。
この攻撃は、他のMacマルウェアパッケージのように特定のマシンに合わせてカスタマイズする必要はありません。必要なのは、標的がESETツールを実行していることを認識することと、公共のWi-Fiホットスポットなどの「中間者」攻撃を利用する手段だけです。
ESETは、この脆弱性が公開される前の2月21日に、この問題に対するパッチをリリースしました。ユーザーは、ESET Endpoint Antivirusのバージョン6.4.168.0がインストールされていることを確認してください。以前のバージョンはインストールしないでください。
