خلاصه: آسیبپذیری خطرناکی که در آنتیویروس شرکت ESET در سیستمعامل مک وجود دارد به هکرها اجازه میدهد دسترسی روت به سیستم پیدا کرده و به صورت خودسرانه کد اجرا کنند. امکان اجرای کد با دسترسی روت خطر زیادی را متوجه کاربرانی که از این آنتیویروس روی سیستمعامل مک خود استفاده میکنند میکند.
چه چیزی به اندازه یک آسیبپذیری خطرناک در نرمافزاری که کاربران زیادی از آن استفاده میکنند برای یک هکر جذابیت دارد؟! یکی از این آسیبپذیریهای قابل دسترس و در عین حال بسیار خطرناک روی آنتیویروس شرکت ESET برای سیستمعامل مک وجود دارد. این آسیبپذیری به مهاجمان اجازه میدهد بدون احراز هویت کدهای خودسرانه با دسترسی روت روی سیستم مک قربانی اجرا کنند.
این آسیبپذیری بحرانی که با شناسه جهانی CVE-2016-9892 ثبت شده است روی آنتیویروس نسخه ۶ شرکت ESET برای سیستمعامل مک وجود دارد. این آسیبپذیری توسط تیم تحقیقاتی گوگل در ابتدای نوامبر ۲۰۱۶ کشف شد.
آنگونه که در فاشسازی این آسیبپذیری بیان شده است، تنها کاری که یک هکر باید انجام دهد تا بتواند کدهای خودسرانه با دسترسی روت اجرا کند این است که به صورت حمله مردی در میان (MITM) در بین محل تقاطع ارتباط آنتیویروس با سرورهای پشتیبان خود با استفاده از یک گواهینامهای که توسط خودش امضا شده قرار بگیرد و از آسیبپذیری کتابخانه XML استفاده کند.
این آسیبپذیری مربوط به سرویسی به نام esets_daemon است که با دسترسی روت اجرا میشود. این سرویس با نسخه قدیمی از POCO XML در ارتباط است که نسخه ۱.۴.۶p1 آن در مارس ۲۰۱۳ عرضه شده است. از طرفی POCO بر اساس نسخه ۲.۰.۱ Expaxt XML Parser است که در سال ۲۰۰۷ ارایه شده و دارای آسیبپذیری است که به مهاجم اجازه میدهد که کدهایی را به صورت خودسرانه تحت محتوای xml اجرا کند.
زمانی که آنتیویروس ESET با سرور خود ارتباط برقرار میکند مهاجم میتواند با یک گواهینامه که توسط خودش امضا شده میتواند درخواست ارتباط را فریب دهد. زمانی که هکر ارتباط را به دست گرفت میتواند هر محتوای آلودهای را به سیستم قربانی منتقل کرده یا کدهای مخرب خود را با بالاترین سطح دسترسی روی آن اجرا کند. این حمله به این دلیل امکانپذیر است که ESET گواهی سروری که با آن ارتباط برقرار میکند را بررسی نمیکند.
البته شرکت ESET در ۲۱ فوریه با ارتقای نسخه POCO در نسخه ۶.۴.۱۶۸.۰ آنتیویروس خود این آسیب را برطرف کرد و ارتباطات با سرور را تحت ارتباط امن SSL انجام میدهد. بنابراین لازم است آنتیویروسهای قبل از این نسخه هرچه سریعتر بهروزرسانی شوند.