Descubiertas vulnerabilidades en productos de ESET para MacOS

Última actualización conforme a las declaraciones de ESET.

Investigadores del equipo de seguridad de Google han descubierto un error en el software ESET Endpoint Antivirus que puede ser explotado para realizar ataques de ejecución de código de forma remota a través de los sistemas Apple Mac.

El error de seguridad crítico, CVE-2016-9892, ha permitido a los atacantes ejecutar código como ‘root’ en las versiones 6.3.85.1 e inferiores.

Desde ESET han explicado que “han trabajado junto al equipo de Google lanzando una actualización para los productos afectados entre el 13 y el 14 de febrero que corregió la vulnerabilidad antes de que ésta se hiciera pública (el 27 de febrero) y, por tanto, se minimizaron las posibilidades de explotación”.

“Ningún usuario ha reportado incidentes relacionados con este hecho, ya que en la configuración estándar de las soluciones de ESET las actualizaciones se realizan de forma regular y los usuarios deberían estar ya utilizando la última versión de nuestros productos”, se ha afirmado desde la compañía.

El problema radica dentro de una biblioteca de análisis XML anticuada, utilizada por el software, que no realiza comprobaciones adecuadas del servidor de autenticación. El servicio esets_daemon, que se ejecuta como ‘root’, está vinculado a una versión legada de la biblioteca POCO XML .

Cuando ESET Endpoint Antivirus intenta activar su licencia en un PC, esets_daemon envía una solicitud que no es validada por el certificado del servidor web, lo que significa que un atacante puede lanzar un ataque ‘man-in-the-middle’ (MITM) para interceptar la petición.

La versión de la biblioteca se basa en Expat 2.0.1, presentada en 2007, que contiene una vulnerabilidad de análisis XML pública – CVE-2016-0718 – y que permite la ejecución de código malicioso a través de contenido XML con formato incorrecto.