ESET Antivirus中的关键漏洞使Mac用户面临远程黑客攻击

ESET的防病毒软件中发现了这样一个容易被利用但至关重要的漏洞，该漏洞可能允许任何未经验证的攻击者在Mac系统上以root权限远程执行任意代码。

2016年11月初，谷歌安全团队的研究人员Jason Geffner和Jan Bee发现了针对macOS的ESET Endpoint Antivirus 6中的关键安全漏洞CVE-2016-9892。
正如完整披露中所详细说明的，黑客在Mac计算机上获得根级别远程代码执行所需的只是使用自签名HTTPS证书拦截ESET防病毒软件包与其后端服务器的连接，将自己作为中间人（MITM）攻击者，并利用XML库漏洞进行攻击。

实际问题与名为esets_daemon的服务有关，该服务以root用户身份运行。该服务与2013年3月发布的过时版本的POCO XML解析器库1.4.6p1静态链接。

此POCO版本基于2007年的Expat XML parser library 2.0.1版，该版本受到一个众所周知的XML解析漏洞（CVE-2016-0718）的影响，该漏洞可能允许攻击者通过恶意XML内容执行任意代码。

现在，当esets_守护进程向https://edf.eset.com/edf在激活ESET Endpoint Antivirus产品期间，MITM攻击者可以拦截使用自签名HTTPS证书传递格式错误的XML文档的请求。
此事件触发CVE-2016-0718漏洞，当esets_守护进程解析XML内容时，该漏洞以root权限执行恶意代码。

由于ESET antivirus未验证web服务器的证书，因此可能发生此攻击。

以下是两人的解释：

“ESET Endpoint Antivirus 6的易受攻击版本与过时的XML解析库静态链接，并且不执行正确的服务器身份验证，允许未经身份验证的远程攻击者以root用户身份在易受攻击的客户端上执行任意代码”。

现在，由于黑客控制了连接，他们可以向Mac计算机发送恶意内容，以劫持XML解析器并以root身份执行代码。

谷歌研究人员还发布了概念验证（PoC）攻击代码，该代码只显示了ESET防病毒应用程序如何被用于导致崩溃。

ESET于2月21日通过升级POCO解析库并将其产品配置为验证SSL证书解决了该漏洞。

该补丁在针对macOS的ESET Endpoint Antivirus 6.4.168.0版本中提供。所以，确保你的防病毒软件包是最新补丁。