CH azonosító
CH-12360Angol cím
ESET NOD32 vulnerabilityFelfedezés dátuma
2015.06.22.Súlyosság
MagasÉrintett rendszerek
ESETNOD32
Érintett verziók
Minden verziót és platformot érint a sérülékenység (az alapértelmezett konfigurációk is érintettek), többek között:
- ESET Smart Security, Windows
- ESET NOD32 Antivirus, Windows
- ESET Cyber Security Pro, OS X
- ESET NOD32, Linux Desktop
- ESET Endpoint Security, Windows és OS X
- ESET NOD32 Business Edition
Összefoglaló
Az ESET szoftverét futtató bármilyen rendszer sérülékennyé válhat. A komprimittált gépek jogosultságtól függetlenül betekintést engednek a fájlokba, engedélyezik azok módosítását, törlését minden rendszeren. (A kihasználáshoz system vagy root jogosultság szükséges, de egy sikeres behatolás után ezek már nem korlátozzák a támadót.) Engedélyezik programok, rootkitek telepítését, hozzáférést adnak a rendszer hardware-eihez (kamera, mikrofon, billentyűleütések), láthatóvá teszik a hálózati forgalmat.
Leírás
Az antivírus szoftver emulációs képességekkel rendelkezik, hogy hatékonyabban vizsgálhassa az aktív folyamatokat. A NOD32 a minifilter-t vagy a kext-et használja, hogy megszakítsa a lemezen végzett input/output (I/O – I/O folyamatot létrehozhat webböngésző, fájlmegosztás, email, hálózati tárhely, USB meghajtó, üzenetküldő használata) műveleteket, majd elemzi a folyamatot és ha futtatható kódot észlel átadja az emuláló környezetnek további vizsgálatra. Fontos, hogy az emuláció biztonságos, robosztus és elkülönített legyen (könnyű nem megbízható kód emulációját előidézni, mivel ha üzenetet, fájlt, képet vagy bármely más adatot fogad a rendszer, azt valószínűleg nem megbízhatónak ítéli majd a szoftver).
A rendszert ért támadásnak vagy a már komprimittált gépnek nincs semmilyen jelzője, mivel az I/O műveletek normális részei az operációs rendszernek).
Különböző rendszereken különbözőképpen vehetik át az irányítást:
- Windows: ha NT AUTHORITYSYSTEM jogosultsággal rendelkezik a scan folyamat, egy távoli támadó kompromittálhatja az ekrn.exe folyamatot.
- Linux: ha root jogosultsággal rendelkezik a scan process, egy távoli támadó átveheti az esets_daemon folyamat irányítását.
Kihasználás email csatolmányokkal:
A kihasználásra összeállított kódot MIME csatolmányként elküldve egy Mail.app, Outlook, stb. szoftvert használó felhasználónak interakció nélkül sebezhetővé teszi az érintett rendszert. (Új email-ek lekérése a mailserverről elegendő ahhoz, hogy a NOD32 megszakítsa a folyamatot és ellenőzést végezzen. Nem szükséges a csatolmány megnyitása.)
Kihasználás webböngészőn keresztül:
A bármilyen weboldalra feltöltött káros tartalom, amely tartalmazza a kihasználáshoz szükséges kódot (kép, HTML5 cache vagy egyszerű text/html fájl), az ESET szoftverének beavatkozását idézi elő.
Megoldás
Frissítsen a legújabb verzióraMegoldás
Az ESET által készített javítás : http://www.virusradar.com/en/update/info/11824
Támadás típusa
Emulációs hibaHatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: googleprojectzero.blogspot.hu